|
Antiviren-, Firewall- und andere Schutzprogramme: Dateianalyse durch www.malwareupload.comWindows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
25.02.2005, 00:48 | #1 |
Gast | Dateianalyse durch www.malwareupload.com So, wie mit Eisi abgesprochen werde ich hier mal schön reinposten; Einigen habe ich es ja schon vorab per PM angekündigt. Wie ja viele wissen, habe ich oft neue oder auch relativ bekannte Malware an partytime-germany.ice@web.de schicken lassen. Ich hatte oft Probleme die Dateien zu bekommen (nicht jeder schickt die Samples an eine FreeMail-Addy). Inzwischen gibt es www.malwareupload.com . Dort kann man verdächtige Dateien und infizierte Dateien hochladen. Der Uploader hat die Möglichkeit seine upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen. Diese Infos werden ihm natürlich auch per Mail zugeschickt. Am Ende des Tages erhalten dann über 40 Malwareschutzhersteller und das BSI alle Dateien zur Signaturerstellung. Bei Bedarf kann jedoch auch noch meine Adresse partytime-germany.ice@web.de verwendet werden. Gerne kann auf www.malwareupload.com in den Postings hingewiesen werden. Bekannte, relative unbekannte und neue Malware kann upgeloadet werden. Alles uploaden. Somit wird sichergestellt, dass alle bekannten und größeren AV-Hersteller die Datei so schnell wie möglich erhalten und Signaturen erlassen können. Der User muss lediglich seine E-Mail-Adresse angeben (um ihn über das Ergebnis zu informieren). Verwantwortlich für das Projekt ist Matthias Mattner (hijackthis.de) Verbesserungen, Kritik und Anregungen gerne. Gruß, Christian Geändert von *Christian* (25.02.2005 um 00:59 Uhr) |
26.02.2005, 11:35 | #2 |
Dateianalyse durch www.malwareupload.com Hallo Christian,
__________________auch auf die Gefahr hin, mich -mal wieder- unbeliebt zu machen, weil ich zu misstrauisch sei, oder zu negativ denke, habe ich ein paar Fragen zu diesem Service, bevor ich diesen in einem Board dieser Größe und Bekanntheit uneingeschränkt empfehlen kann. Zumal es letzlich kein Service ist, der von diesem Board oder von Trojaner-Info.de ausgeht und somit auch nicht der Verantwortung der hier Verantwortlichen steht. Vielleicht kannst Du (oder noch besser Matze -welcher hier ja auch registriert ist-) mir darauf Antworten geben. 1. Was genau passiert mit den Dateien, die hochgeladen werden? 1.1. Wie sieht die Analyse aus? Werden die Dateien durch eine Anzahl x an Virenscanner gejagt, oder wird jede einzelne Datei tatsächlich auf Verhalten und Inhalte geprüft? 1.2 Was passiert mit den Dateien, die -wie auch immer- als 'sauber' definiert werden. Werden diese dennoch an AV-Hersteller weitergeleitet? 1.2 Wie lange verbleiben die hochgeladenen Dateien auf dem Webserver? Auch ein Webserver ist nicht unangreifbar. Will sagen, die Dateien könnten unter ungünstigen Umständen 'abgegriffen' werden... 2. Wer genau sind diese '40 Malwareschutzhersteller'? 3. Erfolgt das Ganze mit vorheriger Absprache mit dem BSI und diesen 40 Malwareschutzherstellern? Um es noch einmal ganz deutlich zu sagen: Ich habe nicht grundsätzlich etwas gegen solche 'Dienste'. Aber die näheren Hintergründe interessieren mich schon...
__________________ |
26.02.2005, 23:24 | #3 |
| Dateianalyse durch www.malwareupload.com Hallo zusammen!
__________________Als Moderator des hijackthis.de Forums beantworte ich die mich betreffenden Fragen gerne selber: 1.1 Ich gehe bei der Analyse eine feste Reihenfolge ab: 1) Eigenschaften der Datei (Eventueller 1. Hinweis auf den Hersteller) 2) PEID (Erster Hinweis auf den Packer/das Format) 3) Scan mit Kaspersky und erweiterter Signatur 4) Verifizierung mit Jottis Onlinescanner 5) wenn nötig Verifizierung mit Virustotal Sollten bis hierher noch keine brauchbaren Resultate erfolgt sein geht es weiter: 6) Analyse mit PE Explorer und Sichtung mit UltraEdit auf auffällige Strings, URls, RegKeys etc. 7) Sollte ein manuelles Unpacken nicht möglich sein, so geht die Analyse in meiner VM weiter, dort mit ProcDump, File- und Regmon und Packetyzer (Etherreal Clone). 1.2 Nein 1.3 wird Matze beantworten 2 und 3 wird Christian beantworten Sollte irgendetwas fehlen, ich(wir) bin(sind) offen für Anregungen und Ideen. MfG Marc
__________________ |
26.02.2005, 23:45 | #4 |
| Dateianalyse durch www.malwareupload.com Hallo, Ich übernehme hier mal den technischen Part von Malwareupload.com. 1.3: Die Dateien sind solange auf dem Webserver, bis die Analyse vollständig abgeschlossen ist. Wenn also der Status der Datei auf "Bearbeitung abgeschlossen" gesetzt wird, so wird die Datei vom Webserver gelöscht. Zwar wird im Benutzerbereich noch Dateiname, Größe, Kommentar und Antwort angezeigt, allerdings existiert diese Datei serverseitig nicht mehr. Das ein Webserver nicht unangreifbar ist, sollte wohl jedem klar sein. Die Dateien können aber normalerweise nur von den analysierenden Personen heruntergeladen werden. Die Dateien liegen in einem Verzeichnis auf dem Webserver. Ein Download wird aber nur dann zugelassen, wenn der Referrer auf die Verwaltungsseite gesetzt ist. Somit ist der Download nur möglich, wenn der User: 1. Den kompletten Pfad zum Download kennt 2. Den Download von unserer internen Verwaltungsseite aufruft 3. Sich in die Verwaltungsseite mit Benutzernamen und Passwort einloggen kann Ein Download über FTP ist auch nur möglich, wenn der Benutzer das Passwort kennt. Da sich das 12-Stellige Passwort allerdings jeden zweiten Tag automatisch ändert, halte ich das für unrealistisch. Für weitere technische Fragen zu Malwareupload.com / Hijackthis.de stehe ich weiterhin zur Verfügung. MfG, Mathias (Matze) |
27.02.2005, 08:56 | #5 |
Dateianalyse durch www.malwareupload.com Hallo Marc, hallo Matze, danke für Eure Erläuterungen!
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
27.02.2005, 14:13 | #6 |
Gast | Dateianalyse durch www.malwareupload.com Ich runde es dann mal hiermit ab: Zu Frage 2: Die Submit-Abteilungen folgender Firmen: 1. Softwin 2. Emsisoft 3. Ewido 4. Safer-Networking 5. Virudin 6. Trendmicro Labs 7. Ikarus 8. H+B EDV 9. Computer Associates 10. Percomp Verlag 11. F-Secure 12. Mischel Security 13. Pandasoftwares 14. Alwil Software 15. Kaspersky Lab 16. Grisoft 17. Eset 18. Centralcommand 19. eTrust 20. Norman Software 21. Sophos Software 22. Doctor Web Ltd. 23. Prognet Technologies 24. DiamondCS 25. Lavasoft 26. GeCAD Software 27. nsclean Kevin McAleavey 28. Frisk Software 29. Commandsoftware 30. CAT Sotware 31. Avertlabs 32. OpenSource Project openantivirus 33. OpenSoucre Project ClamAV 34. Symantec 35. Astonsoft 36. Agnitum 37. Ahnlabs 38. Fortinet 39. Virusbuster Ltd. 40. MKS 41. Sybari 42. Filseclab 43. Bundesamt für Sicherheit in der Informationstechnik Zu Frage 3: Den Firmen und dem BSI ist bekannt, dass die Dateien von malwareupload.com stammen. Weitere Absprachen sind nicht gegeben bzw. erforderlich. |
Themen zu Dateianalyse durch www.malwareupload.com |
adresse, analyse, christian, dateien, email, ergebnis, erhalte, hijack, infizierte, infizierte dateien, infos, kritik, malware, natürlich, neue, posten, probleme, projekt, relativ, schnell, signaturen, status, unbekannte, verdächtige, verwendet, web.de, wissen |