Einen wunderschönen guten Tag

Zunächst einmal danke für die Möglichkeit hier fragen stellen zu können. Da es mein erster Post hier ist, vieleicht ein kleiner Vorspann. Ich selbst sehe mich als versierter PC-Nutzer und mein favorisierter Virenscanner ist Brain 1.0. Ich habe selbst einen eigenen Mail-Transferagenten und der sortiert mir alle Mails mit Attachment aus, es sei denn der Absender steht auf einer Whitelist. Damit hatte diese Virenschlacht bisher eine für mich untergeordente Priorität. Von daher verwende ich der Einfachheit halber den Microsoft-Essentials als Virenscanner.

Vor kurzem bin ich mal wieder durchs Internet geturnt und habe diese Seite gefunden virustotal.com. Da habe ich mich dann mal angemeldet und spaßeshalber einige per Brain 1.0 erkannte Viren hochgeladen. Aktuell werden diese Attachments mit 56 Onlinescannern geprüft und mein "Rekord" war in einem Fall, dass nur drei Scanner was finden konnten. Diese Ausbeute hat mich ernsthaft verblüfft. Bedeutet das nun, dass ich in einer exponierten Lage sitze und das bei mir alle jungfräulichen und den Virenscannern noch unbekannten Viren aufschlagen oder ist das normal? Also kann man nun Nutzen ziehen aus diesen Attachments? Macht es Sinn, die irgendwo hochzuladen, ggf. automatisch?

Herzliche Grüße
Wolfgang

Das eine schließt das andere nicht aus.

www.virustotal.com ist ein guter Anhaltspunkt. Wenn du gerade der erste bist, der was neues abbekommt, dann kann kein Scanner der Welt das kennen. Bei "alten" Dateien hingegen kann man schon davon ausgehen, das bekannt. Wenn dann kein Scanner oder nur unbekanntes anspringt, ist das ein guter Hinweis auf einen Fehlalarm.

Daher ist Brain durch nichts zu ersetzen.

(Fast)Jeder AV Hersteller bietet es an Dateien Hochzuladen die vermutlich mit Viren & Co. befallen sind.

Wenn ich etwas per Mail bekomme (rechnungxyz.zip.exe usw), und es wurde nicht erkannt, dann lade ich das bei 2-3 AV anbietern hoch.

Das ist neben Brain 1.0 & Updaten das einzige was wir als User machen können..

MfG
Ghost1975

Zitat:

Zitat von Ghost1975

Wenn ich etwas per Mail bekomme (rechnungxyz.zip.exe usw), und es wurde nicht erkannt, dann lade ich das bei 2-3 AV anbietern hoch.

Mit anderen Worten: Das Hochladen bei Virustotal reicht nicht, man müsste diese Attachments auch bei den Scannerherstellern hochladen, die den Virus nicht erkannt haben?

Also ich könnte das per Script machen mit jeder reinkommenden Mail die Attachments hat und bei der der Absender nicht auf einer Whitelist steht. Sowas würde Sinn machen?

Hi,

Virustotal verteilt die Sachen schon weiter.
Aber sowas zu verteilen mit Update dauert was.
Es gibt hier im Forum einen ca11 Jahre alten Beitrag:
Klick

Hallo, hier kannst du noch eventuelle Malware einsenden.

Man sollte infizierte oder verdächtige Dateien an alle Virenlabore senden. Somit kannst du einen aktiven Beitrag zur Verbesserung des Virenschutzes leisten.

So geht's:

1. Packe die verdächtige Dateien in ein ZIP-Archiv (z. B. mit WinZip, WinRaR, PKZip, 7-zip). Schütze das Archiv mit einem Passwort. Das gängige Passwort ist
„infected". Solltest du kein Archivpackprogramm installiert haben, kannst du notfalls auch das windowseigene Zip nehmen.

2. Erstelle eine neue E-Mail und hänge das Archiv oder die Datei an. Schreibe das Passwort des ZIP-/RAR-Archives in die E-Mail.


Anbei die E-Mail-Adressen der hier gängigsten Virenschutzhersteller:


AegisLab: support(at)aegislab.com
Agnitum/Tauscan: trojans(at)agnitum.com
Ahnlab: v3sos(at)ahnlab.com
Antiy: submit(at)antiy.com (keine ZIP-/RAR-Dateien)
ArcaBit/ArcaVir: virus(at)arcabit.com
Avast: virus(at)avast.com
AVG/Grisoft: virus(at)avg.com
Avertive: samples(at)avertive.com
Avira/Antivir: virus(at)avira.com
Baidu: bav(at)baidu.com
Bitdefender: virus_submission(at)bitdefender.com
BKav: bkav(at)bkav.com.vn
Bluecoat/Norman Scanner Engine: nseanalysis(at)bluecoat.com
BluePoint Security: samples(at)bluepointsecurity.com
Bullguard: virus.samples(at)bullguard.com
Bytehero: virus(at)bytehero.com (keine ZIP-/RAR-Dateien)
CerberAV: labs(at)Cerberav.com
Checkpoint/Zonealarm: malware(at)checkpoint.com
CMC Lab: support.is(a)cmclab.net (keine ZIP-/RAR-Dateien)
CMC Info Sec: contact(at)cmcinfosec.com
Commtouch/Command: virus(at)commandsoftware.com
Comodo: malwaresubmit(at)avlab.comodo.com
Dell/SonicWALL: samples(at)sonicwall.com
Digital Defender: samples(at)digital-defender.com (keine ZIP-/RAR-Dateien)
DrWeb: vms(at)drweb.com
EmcoSoftware: malware(at)emcosoftware.com
Emsisoft: submit(at)emsisoft.com
Eset/Nod32: samples(at)eset.com
Filseclab/Twister: virus(at)filseclab.com
Fortinet/FortiGuard: submitvirus(at)fortinet.com
Frisk/F-Prot: viruslab(at)f-prot.com
F-Secure: vsamples(at)f-secure.com
G-Data: samples(at)gdatasoftware.com
Hacksoft/TheHacker: virus(at)hacksoft.com.pe
Ikarus: samples(at)ikarus.at
IMEN AntiVirus: info(at)ImenAntiVirus.com
Immunet: submit(at)samples.immunet.com
Intego/Virusbarrier: sample(at)virusbarrier.com
Jiangmin: virus(at)jiangmin.com
Kaspersky: newvirus(at)kaspersky.com
K7 Computing: k7viruslab(at)labs.k7computing.com
Lavasoft/Ad-aware: research(at)lavasoft.com
Lookout: malware(at)lookout.com
Malwarebytes: upload.Forum_s.fcb9o62rba(at)u.box.com
McAfee: virus_research(at)avertlabs.com
McAfee Gateway: virus_research_gateway(at)avertlabs.com
Microsoft: avsubmit(at)submit.microsoft.com
MicroPoint: virus(at)micropoint.com.cn
MicroWorld/eScan: samples(at)escanav.com
NanoAV: virus(at)nanoav.ru
Netgate/Spy-Emergency: research(at)spy-emergency.com
nProtect: virus_info(at)inca.co.kr
NQ: customersupport(at)nq.com (keine ZIP-/RAR-Dateien)
PSafe: labs(at)psafe.com
Panda: virussamples(at)pandasoftware.com
Percomp/FP-Win: samples(at)percomp.de
Preventon: sample(at)preventon.com (keine ZIP-/RAR-Dateien)
Proland/Protector Plus: samplesubmit(at)pspl.com
Qihoo 360: support(at)360safe.com
Quickheal: viruslab(at)quickheal.com
Returnil: support-tech(at)returnil.com (keine ZIP-/RAR-Dateien)
Rising: viruslab(at)rising.com.cn
Rubus: support(at)rubus.co.in
S-Cope: newvirus(at)s-cop.com
Safer-Networking/Spybot: detections(at)spybot.info
SecureComputing: samples(at)securecomputing.com
SimplySup/Trojan Remover: submit(at)simplysup.com
Sophos: samples(at)sophos.com
Sunbelt/Vipre: malware-cruncher(at)sunbelt-software.com
Symantec/Norton: avsubmit(at)symantec.com
Thirtyseven4: virus(at)thirtyseven4.com
Trend Micro: trendlabs(at)av-emea.com
Total Defense/CA: virus(at)totaldefenselabs.com
TrustGo:support(at)trustgo.com (keine ZIP-/RAR-Dateien)
Trustport: support(at)trustport.com
UnThreat: suspicious(at)unthreat.com (keine ZIP-/RAR-Dateien)
ViRobot/Hauri: viruslab(at)hauri.co.kr
VirusBlockAda/VBA32: newvirus(at)anti-virus.by
Zillya: virus(at)zillya.com


Hier nochmal alle Adressen zusammengefasst. Nachfolgende Adressen können einfach in das Adressfeld kopiert werden (bitte „(at)" durch „@" ersetzen!):

research(at)lavasoft.com, v3sos(at)ahnlab.com, virus(at)avira.com, virus(at)arcabit.com, virus(at)avast.com, virus(at)avg.com, submit(at)emsisoft.com, virus_submission(at)bitdefender.com, virus(at)commandsoftware.com, vms(at)drweb.com, virus(at)totaldefenselabs.com, viruslab(at)f-prot.com, submitvirus(at)fortinet.com, malwaresubmit(at)avlab.comodo.com, samples(at)percomp.de, vsamples(at)f-secure.com, samples(at)gdatasoftware.com, viruslab(at)hauri.co.kr, samples(at)ikarus.at, newvirus(at)kaspersky.com, virus_research(at)avertlabs.com, avsubmit(at)submit.microsoft.com, samples(at)eset.com, support(at)norman.com, virussamples(at)pandasoftware.com, viruslab(at)quickheal.com, viruslab(at)rising.com.cn, samples(at)securecomputing.com, samples(at)sophos.com, detections(at)spybot.info, malware-cruncher(at)sunbelt-software.com, avsubmit(at)symantec.com, trojans(at)agnitum.com, trendlabs(at)av-emea.com, viruslab(at)trendmicro-europe.com, virus(at)pandasecurity.com, newvirus(at)anti-virus.by, samples(at)bluepointsecurity.com, virus.samples(at)bullguard.com, k7viruslab(at)labs.k7computing.com, samples(at)escanav.com, virus_info(at)inca.co.kr, support(at)trustport.com, bkav(at)bkav.com.vn, virus(at)zillya.com, virus(at)filseclab.com, virus(at)hacksoft.com.pe, submit(at)samples.immunet.com, virus(at)jiangmin.com, malware(at)lookout.com, upload.Forum_s.fcb9o62rba(at)u.box.com, virus(at)micropoint.com.cn, research(at)spy-emergency.com, virus(at)nanoav.ru, newvirus(at)s-cop.com, submit(at)simplysup.com, virus(at)thirtyseven4.com, malware(at)checkpoint.com, malware(at)emcosoftware.com, samplesubmit(at)pspl.com, labs(at)psafe.com, support(at)rubus.co.in, labs(at)Cerberav.com, info(at)ImenAntiVirus.com, virus(at)avsubmit.com, samples(at)avertive.com, sample(at)virusbarrier.com, samples(at)sonicwall.com, virus_research_gateway(at)avertlabs.com, support(at)360safe.com, bav(at)baidu.com, support(at)aegislab.com, contact(at)cmcinfosec.com, support(at)roboscan.com, nseanalysis(at)bluecoat.com


Bei folgenden Adressen sollte die ZIP-/RAR-Datei in eine DAT-Datei umbenannt werden, da Archive seitens der Mailserver geblockt werden (bitte „(at)" durch „@" ersetzen!):

support.is(at)cmclab.net, samples(at)digital-defender.com, customersupport(at)nq.com, virus(at)bytehero.com, suspicious(at)unthreat.com, support-tech(at)returnil.com, support(at)trustgo.com, sample(at)preventon.com, submit(at)antiy.com



Alternativ besteht auch die Möglichkeit die verdächtigen Dateien mittels Upload–Formular hoch zu laden. Aber längst nicht alle Virenschutzhersteller bieten dies an:

AegisLab: AegisLab ????????
Agnitum/Tauscan: Agnitum: Support
Ahnlab: http://global.ahnlab.com/site/support/viru...rtForm.do?tab=2 (nur für registrierte Benutzer)
Arcabit/ArcaVir: https://www.arcabit.pl/upload (nur in polnischer Sprache möglich)
Avast: https://my.avast.com/de-de (nur für registrierte Benutzer)
AVG/Grisoft: Report a false detection | AVG Worldwide
Avira/Antivir: http://analysis.avira.com/samples/index.php
Baidu: Baidu Antivirus | Professional Antivirus + Ultrafast Cloud Security
Bitdefender: Automatic sample uploader oder Kontaktieren Sie den Bitdefender Kundendienst für technische Fragen! (nur für Benutzer mit gültiger Lizenz)
ClamAV: ClamavNet
Comodo: http://internetsecurity.comodo.com/submit.php
Digital Defender: Sample Submission - Digital DefenderDigital Defender
DrWeb: http://vms.drweb.com/sendvirus
Emsisoft: http://www.emsisoft.de/de/support/submit
Frisk/F-Prot: http://support.f-prot.com/index.php?/Ticke...it/RenderForm/7
F-Secure: http://www.f-secure.com/samples
Fortinet/FortiGuard: Online Virus Scanner | FortiGuard.com
G-Data: https://su.gdatasoftware.com/sample-submission
IMEN: http://www.imenantivirus.com/index.aspx?Pa...d=2&Lang=EN
Intego: http://www.intego.com/de/support/submit-malware
Kaspersky: https://scan.kaspersky.com/?utm_source=newv...mpaign=NewVirus
Kingsoft: 木马病毒上报|木马病毒举报 - 金山安全ä¸*心 (nicht in deutscher/englischer Sprache möglich)
Lavasoft/Ad-Aware: http://www.lavasoft.com/support/securityce...file_upload.php
Malwarebytes: https://forums.malwarebytes.org/index.php?/...research-center (nur mit Registrierung im Forum)
Microsoft: https://www.microsoft.com/security/portal/submit.aspx
MicroWorld/eScan: Select a department - Powered by Kayako Fusion Help Desk Software
NanoAV: http://www.nanoav.ru/index.php?option=com_...=83&lang=en
Netgate/Spy-Emergency: Free AntiSpyware Download | Spyware Trojan Removal Software
Panda: https://pandasecurity.com/usa/homeusers/sup...ontact.htm?ts=1 (nur für registrierte E-Mail-Adressen, die eine gültige Lizenz haben)
Pctools: PC Tools - Submit Spyware Sample
Qihoo 360: False Positives/Suspicious files | 360 Total Security oder 360?_? (nicht in deutscher/englischer Sprache möglich)
Quickheal: Quick Heal Technologies Ltd
Rising: RISING - Antivirus,Firewall,Virus,Trojan,Worm Protection,Free Download oder Report file center
Safer-Networking/Spybot: https://www.safer-networking.org/con...uspicious-file
Sophos: https://secure.sophos.com/support/samples
Sunbelt/Vipre: http://www.threattracksecurity.com/resourc...sed-threat.aspx
Superantispyware: http://forums.superantispyware.com/index.p...perantispyware (nur mit Download eines Utility)
Symantec/Norton: https://submit.symantec.com/websubmit/retail.cgi
TrendMicro: https://esupport.trendmicro.com/srf/srfemea...tem%20infection
ViRobot/Hauri: Anti-Virus Leader ViRobot (nur mit Download eines Utility)
VirusBlockAda/VBA32: ÂèðóñÁëîêÀäà / Ïðîâåðêà íà âèðóñû on-line
Webroot: http://snup.webrootcloudav.com/SkyStoreFil...mp;CSIPARTNER=7
Zoner: Zoner AntiVirus


Auch schädliche Websites (Phishing etc.) können bei einigen Virenschutzherstellern eingesendet werden:

Aegislab: AegisLab ????????
Agnitum/Tauscan: Agnitum: Support
Avast: https://my.avast.com/de-de (nur für registrierte Benutzer)
AVG/Grisoft: Report a false detection | AVG Worldwide
Avira/Antivir: https://analysis.avira.com/en/submit-urls
Baidu: Baidu Antivirus | Professional Antivirus + Ultrafast Cloud Security
Bitdefender: Automatic sample uploader
Comodo Webinspector: Online Webpage Scanning for Malware Attacks | Web Inspector Online Scan
Dr. Web: https://vms.drweb-av.de/sendvirus?lng=de
Eset/Nod32: How do I submit a virus, website or potential false positive sample to the ESET lab??ESET Knowledgebase (ganz nach unten scrollen)
F-Secure: https://www.f-secure.com/en/web/labs_global...mple#sample-url
Fortinet: Fortinet URL Rating Submission
G-Data: https://su.gdatasoftware.com/url-submission
Kaspersky: https://newvirus.kaspersky.com
McAfee SiteAdvisor: https://www.siteadvisor.com/sites
Quickheal: Report a Phishing Suspected Website
Safer-Networking/Spybot: https://www.safer-networking.org/contact/suspicious-url
Sophos: https://secure2.sophos.com/en-us/threat-cen...nt-request.aspx
Sunbelt/Vipre: http://www.threattracksecurity.com/resourc...sed-threat.aspx
Symantec: https://submit.symantec.com/antifraud/phish.cgi
TrendMicro: https://esupport.trendmicro.com/srf/srfemea...tem%20infection


Hier noch einige Sandbox Adressen, um das Verhalten der eingesendeten Dateien analysieren zu lassen (funktioniert nicht bei jeder Datei):

Comodo: http://camas.comodo.com
Iseclab: http://anubis.iseclab.org
Threatexpert: ThreatExpert - Submit Your Sample Online
Websense: Real-time Threat Analysis with CSI: ACE Insight - Websense.com (für Websites)
Wepawet: http://wepawet.iseclab.org/index.php (für Websites, JavaScript-, PDF- und Flashdateien)
AV-Comparatives: http://www.av-comparatives.org/avc-analyzer (für Android Apps, apk-Dateien)
Joe Security File-Analyzer: http://www.file-analyzer.net (nur für registrierte Benutzer)
Joe Security Document-Analyzer: http://www.document-analyzer.net (für PDF- und Office-Dateien & nur für registrierte Benutzer)



Bitte beachte, dass nicht alle Virenschutzhersteller eine Antwort auf deine Sample-Einreichung geben können. Sie werden aber mit Sicherheit deine Einsendung bearbeiten und wenn nötig ein Update zur Verfügung stellen. So kann jeder Einzelne aktiv dazu beitragen den Virenschutz zu verbessern und Millionen PC-User vor Malware schützen bzw. von Malware befreien.

Bemerkungen zu dem Thema bitte hier posten: Submit-Adressen-Thread: Anmerkungen - Rokop Security


Die Weitergabe der Submit-Adressen in anderen Foren ist ausdrücklich erwünscht!



Der Beitrag wurde von blueX bearbeitet: 22.04.2016, 23:08



Quelle: http://www.rokop-security.de/index.php?showtopic=17635

THN

Zitat:

Zitat von TrojanerHunterNEW

1. Packe die verdächtige Dateien in ein ZIP-Archiv (z. B. mit WinZip, WinRaR, PKZip, 7-zip). Schütze das Archiv mit einem Passwort. Das gängige Passwort ist „infected". Solltest du kein Archivpackprogramm installiert haben, kannst du notfalls auch das windowseigene Zip nehmen.

Also das ist beliebig schwierig, denn ein solches Handling ist auf meinem PC nur möglich, wenn ich den Virenschutz ausschalte. Außerdem würde ich diese Aufgabe an meinen MTA auslagern. Also: Mail mit Attachment kommt rein, die Attachments werden (so der Absender nicht auf einer Whitelist steht) weitergeleitet an Virustotal und ggf. an die Scannerhersteller.

Ich habe gar nicht vor, diese Dinger überhaupt nur auf meine(n) Rechner wirklich runterzuladen.

Zitat:

Zitat von wolfgang-12

Also das ist beliebig schwierig, denn ein solches Handling ist auf meinem PC nur möglich, wenn ich den Virenschutz ausschalte. Außerdem würde ich diese Aufgabe an meinen MTA auslagern. Also: Mail mit Attachment kommt rein, die Attachments werden (so der Absender nicht auf einer Whitelist steht) weitergeleitet an Virustotal und ggf. an die Scannerhersteller.

Ich habe gar nicht vor, diese Dinger überhaupt nur auf meine(n) Rechner wirklich runterzuladen.

Nun so stets halt dort, das man so vorgehn soll. Das ganze stammt nicht aus meiner eigenen Feder.

THN

Auf jeden Fall vielen Dank für die Übersicht. Ich hätte nicht gedacht, dass es da inzwischen sooo viele Firmen/Seiten gibt.

Zitat:

Zitat von stefanbecker

www.virustotal.com ist ein guter Anhaltspunkt. Wenn du gerade der erste bist, der was neues abbekommt, dann kann kein Scanner der Welt das kennen.

Ich hatte vor ein paar Tagen eine Trefferquote von 0%:
Virustotal-Ergebnis . Zwei Tage später waren es schon 4 Scanner. Hochgeladen hatte ich das als Thunderboard eml-Datei.

Zitat:

Zitat von harlud

Hochgeladen hatte ich das als Thunderboard eml-Datei.

Das ist natürlich mal eine Bemerkung, die mich nachfragen lässt. Man muss also nicht nur die Attachments an VT schicken, man kann einfach die ganze Mail zusenden?

Also ich hätte die Attachments an VT geschickt und die Mail ggf. an Pyzor oder ähnliches. So meine Idee.

@ harlud

Ist doch schmarn, was da hoch geladen wurde, = kein ergebnis.

Welche Datei/Malwaresample wurde zu den Zeitpunkt X upgeloadet ?

Um diesen VT Kink handelst sich: https://www.virustotal.com/en/file/d...is/1461652576/

THN

@ harlud

Vielleicht falscher VT Link ?

THN

Hallo, harlud deine anfrage verstehe ich nicht, in dieser Angelegenheit.

THN

Zitat:

Zitat von wolfgang-12

Das ist natürlich mal eine Bemerkung, die mich nachfragen lässt. Man muss also nicht nur die Attachments an VT schicken, man kann einfach die ganze Mail zusenden?
Also ich hätte die Attachments an VT geschickt und die Mail ggf. an Pyzor oder ähnliches. So meine Idee.

Man konnte früher eine verdächtige Datei an markusg von Trojaner-Board scheicken. Er wollte sie als eml-Datei haben:
markusg.trojaner-board /. Leider hört man nichts mehr von ihm. Ich habe später die nicht gepackten eml-Dateien an Jotti oder Virus-Total geschickt und meistens Trefferquoten von ca. 50% erhalten, die nach erneuter Testung nach einigen Tagen nach oben gingen.

Zitat:

Zitat von TrojanerHunterNEW

@ harlud
Ist doch schmarn, was da hoch geladen wurde, = kein ergebnis.
[...]

@TrojanerHunterNEW
Ich bekomme von Zeit zu Zeit angebliche und völlig unbegründete Zahlungsaufforderungen mit Anhang, die nach Malware riechen. Manchmal speichere ich die (Linux Mint Cinnamon mit Thunderbird) als eml-Datei und öffne sie mit Notepad. Wenn ich dann im Text einen größeren Zeichenblock sehe, vermute ich ein Malwareprogramm.
Weil ich keine Malware mehr zu markusg hochladen kann, weil es nicht mehr ankommt, schicke ich die eml-Datei nach Virustotal. So auch in diesem Fall: Trefferquote=0. Als ich die Datei leicht verändert (Sternchen statt Klarnamen) nach einigen Tagen noch mal hochgeladen habe, gab es 4 Treffer. Ähnlich war es bei dieser Datei: Beispiel , siehe auch: rechtsanwalts-brief .
Zusammenfassung und Bezug auf den Thread: Eine neu gebastelte Malware kann auch durch alle Scanner schlüpfen.

Ok. da habe ich dich halt missverstanden. Sorry.

Da hast du wahrscheinlich wirklich sehr seltenes zeug bekommen, so mit wurde es nicht gleich erkannt. Hatte in der letzten Vergangenheit, ähnliches Viehzeug in mein E-Mail Account, aber wurden meißtens zwischen 2 und 3 Herstellern bei VT erkannt.

THN