Virustotal, und Passwörter in Archiven ?
 

Hallo, seit wann kann Virustotal in Archiven die mit ein Passwort versehen sind, durchsuchen ?


THN

Woher weißt du das oder wo hast du das gelesen? Ist mir ganz neu das Virenscanner in Archiven wie 7Zip oder RAR scannen können die Passwortgeschützt sind und bei VT sind ja auch nur Scanner von Virenschutz Programmen da. Ein Beispiel für ein Passwortgeschützes 7Zip File das ich gerade bei VT hochgeladen habe: https://www.virustotal.com/de/file/7...is/1456173142/ Ist das 7Zip File jedoch entpackt und die Datei darin wird hochgeladen, schaut es ganz anders aus: https://www.virustotal.com/de/file/2...is/1456173456/

Soweit ich richtig im Bilde bin, scannt nicht Virustotal sondern jeweils die Engine von dem Virenscanner. Ob da irgendeiner in einem kennwortgeschütztem Archiv etwas erkennen kann, hab ich mal getestet. Das Ergebnis ist mit Ausnahme von einem Treffer das, was ich erwartet hab:

mit Kennwort: Erkennungsrate 1/55
ohne Kennwort: Erkennungsrate 41/55

Keine Ahnung, wie das ein Scanner (NANO-Antivirus) schaffen konnte.

Archiv neu gepackt mit Kennwort, AES-256 (zumindest laut 7zip) und wieder durchgejagt. Ergebnis unverändert 1/55

EDIT: Habe noch einen Versuch gestartet. Diesmal mit "Ultrakennwort". Jetzt findet auch NANO-Antivirus nichts mehr. Hat der Virenscanner evtl. eine kleine Datenbank, die auf einfache Kennwörter abprüft?

Hallo aus eigener erfahrung, oder nicht erfahrung heute.

Beispiel, ---Virustotal..com. ergebnis https://www.virustotal.com/de/file/3...is/1456175675/

So meinte ich dazu.

Meine Meinung war generell, wen ein Malwaresampel mit ein Paaswort versehen ist, kann auch nicht entdeckt werden bei Virustotal, und anderen, oder sitimmt das nicht so gennerell ?

EDIT

THN

"The submitted file is a compressed bundle ciphered with password infected, do you want to display the report for the contained inner file?"

Wenn ich dann auf 'inner file' klicke, kommt das Passwort bereits passend mit ;)

Ja, das meinte ich jetzt, oder war meine Frage falsch gestellt ?

Was meinst du jetzt ?

THN

Wie meinst du, was ich meine? :D

Die Meldung sagt nichts anderes aus, als dass ein verschlüsseltes Archiv mit dem Passwort infected eingereicht wurde. Zur Auswahl kommt dann 'Compressed file' und 'Inner file'. Bei letzterem wird das bekannte Kennwort verwendet, um die Datei entschlüsselt zu prüfen.

Du liegst mit der Vermutung richtig: wenn das Malware Sample in einem zum Beispiel 7Zip Ordner ist und dieser ist mit einem Passwort wie infected, Hosenpfurz:blabla:oder was auch immer gesichert, dann kein Scanner den Inhalt der 7Zip Datei überprüfen und logischerweise auch keine Malware darin erkennen. Das gilt für VT genauso wie für lokale Scanner auf deinem PC.

Einer konnte (siehe oben) ;)

Ok ich glaube jetzt habe ich das verstanden wahrscheiblich. So eine Meldung hatte ich aber von VT noch nie gehabt.

THN

Ich sehe gerade, dass du Beitrag 4 angepasst hattest, während ich meine Antwort verfasst hab.

Sorry, hab ich nicht gesehen - sonst wäre ich gestern schon drauf eingegangen.

Aber wenn jetzt alles klar ist, passts ja auch :)

Ist bestimmt ein ganz neues Super Hyper Virenschutz Programm das wir da bei VT gesehen haben:lach:

Ne, es ist nicht Avast :taenzer:

Vermute aber, dass nur ein sehr begrenzt Kennwörter geprüft werden (u.a. infected). Hab eben nur keine Lust, das gegenzuprüfen.