Druckversion des Themas
Rokop Security _ Trojaner, Viren und Würmer _ Malwareupload.com - Dateianalyse
Geschrieben von: Internetfan1971 27.03.2005, 23:52
Wir bieten Internet-Usern die Möglichkeit verdächtige und infizierte Dateien auf www.malwareupload.com hochzuladen und von uns auf Malwaresymptome überprüfen zu lassen.
Der Uploader hat die Möglichkeit die upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen.
Diese Infos werden ihn selbstverständlich auch per Mail zugeschickt.
Alle eindeutig infizierten Dateien gehen derzeit über 40 IT-Sicherheitsfirmen zu.
Der kostenlose Service ist zunächst in Deutsch und Englisch verfügbar.
Ideen, Anregungen und Kritik nehmen wir gerne auf.
http://www.malwareupload.com/
Weitere Erklärung und Infos
http://www.trojaner-board.de/showthread.php?t=14472&highlight=christian+malware
Ich habe das noch nicht ausprobiert. Wenn man etwa unter
http://virusscan.jotti.org/de/
eine verdächtige Datei identifiziert hat kann man diese an www.malwareupload.com zur weiteren Analyse schicken. Hinterher können die AV-Hersteller die noch keine Signatur haben eine Signatur erstellen.
Sicher keine schleche Sache.
Geschrieben von: *Christian* 28.03.2005, 02:02
QUOTE(Internetfan1971 @ 28.03.2005, 00:51)
Wenn man etwa unter
http://virusscan.jotti.org/de/
eine verdächtige Datei identifiziert hat kann man diese an www.malwareupload.com zur weiteren Analyse schicken. Hinterher können die AV-Hersteller die noch keine Signatur haben eine Signatur erstellen.
Man muss die Datei nicht vorher bei Jotti hochladen.
Geschrieben von: JFK 28.03.2005, 07:41
QUOTE(*Christian* @ 28.03.2005, 03:01)
Man muss die Datei nicht vorher bei Jotti hochladen.
[right][snapback]86088[/snapback][/right]
Na ja,
die schnellere Antwort erhält man doch in der Regel bei jotti.org
JFK
Geschrieben von: Lucky 28.03.2005, 08:38
QUOTE(malwareupload.com)
Alle eindeutig infizierten Dateien gehen derzeit über 40 IT-Sicherheitsfirmen zu.
Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht?
Und ausserdem warum muss man sich da anmelden? Ich schick meine Klamotten immer an virus@rokop-security.de wo sie dann netterweise auch an alle gehen, und das ohne das ich mich registrieren muss.
Ich schick sie auch sehr oft alleine an die Hersteller.
Nur wenn ich mehr erreichen will als ich kenn, dann über Rokop.
- björn
Geschrieben von: Internetfan1971 28.03.2005, 08:56
Hallo
QUOTE
Man muss die Datei nicht vorher bei Jotti hochladen. dry.gif
Natürlich nicht! War doch nur ein Beispiel, eine hier oft genutzte Möglichkeit eine verdächtige Datei von mehreren Scannern gleichzeitig gegenprüfen zu lassen
QUOTE
Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht?
Wie kommst Du zu dieser Interpretation?
Du kannst doch jede verdächtige Datei dort hinschicken zur Analyse. Etwa durch Heuristik als potentiell erkannte Malware.
Ich nehme jetzt mal an das die eigene Experten haben. Und wenn es neue Malware ist bekommen die gleich über 40 AV-Hersteller!
QUOTE
Und ausserdem warum muss man sich da anmelden?
Um über die Ergebnisse persönlich informiert zu werden. Die E-Mail-Adresse dort zu hinterlassen wird nicht jedem gefallen.
Aber wenn Du Malware nach Rokop schickst hinterläßt Du die dann nicht?
Geschrieben von: Lucky 28.03.2005, 09:25
QUOTE(Internetfan1971 @ 28.03.2005, 09:55)
Wie kommst Du zu dieser Interpretation?
Du kannst doch jede verdächtige Datei dort hinschicken zur Analyse. Etwa durch Heuristik als potentiell erkannte Malware.
[right][snapback]86098[/snapback][/right]
Stimmt, aber da steht "eindeutig infizierte". Für mich heißt das "wir schicken die Dateien nur weiter, wenn wir uns sicher sind." Das lese ich aus dem Satz raus.
QUOTE(Internetfan1971 @ 28.03.2005, 09:55)
Um über die Ergebnisse persönlich informiert zu werden. Die E-Mail-Adresse dort zu hinterlassen wird nicht jedem gefallen.
Aber wenn Du Malware nach Rokop schickst hinterläßt Du die dann nicht?
[right][snapback]86098[/snapback][/right]
Mir ist meine E-Mail auch egal, bei Rokop weiß ich aber das die damit vernünftig umgehen. Auf malwareupload.com ist nur ein Impressum. Garnichts was mit deinen Daten passiert. Auch wenn ich davon ausgehen das diese nur zur Verwaltung der Infos benutzt werden, fände ich eine Information in der Hinsicht nicht verkehrt.
Die E-Mail Adresse muss man dort aber hinterlassen. Anders kann man sich dort nicht anmelden. (Auf malwareupload.com)
- björn
Geschrieben von: IBK 28.03.2005, 10:08
Wenn man bei Jotti etwas uploadet bekommen es die Hersteller auch sofort. Bei Jotti bekomme ich auch die Malware zugeschickt, bei malwareupload bis jetzt noch nicht. Manche Hersteller sind von solchen Diensten nicht gerade zufrieden, da dadurch die prioritäten durcheinander kommen und es so für die User zu längeren Wartezeiten kommt. Wenn jemand eine verdächtige Datei hat und eine schnelle Analyse braucht, dann kann er die bei Jotti oder VirusTotal bekommen und bei dringenden Verdacht ist es am besten die Datei direkt an die Hersteller zu schicken, ohne Mittelmänner. Bei malwareupload stelle ich mir das so vor, dass sie einfach nur scannen ob irgendein AV was erkennt, die Datei selbst kurz ansehen (eine gute Analyse können die dort nicht machen da ihnen die Ressourcen, Kenntnisse und nötigen Programme dazu fehlen), die Datei dann an 40 Hersteller schicken und falls sie eine Antwort bekommen dann diese an dem User in einer Mail schreiben. Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten (ich glaube christian sagte sogar im trojanerforum dass diese idee entstand weil sie sonst nur schwer an malware kamen). Ist aber nur meine Meinung (kann richtig liegen oder auch nicht), also nicht allzu persönlich nehmen .
Geschrieben von: Internetfan1971 28.03.2005, 10:35
QUOTE
Wenn man bei Jotti etwas uploadet bekommen es die Hersteller auch sofort.
Somit kann man sich malwareupload.com wohl eher sparen...
Geschrieben von: Heike 28.03.2005, 11:26
QUOTE(IBK @ 28.03.2005, 11:07)
Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten (ich glaube christian sagte sogar im trojanerforum dass diese idee entstand weil sie sonst nur schwer an malware kamen). Ist aber nur meine Meinung (kann richtig liegen oder auch nicht), also nicht allzu persönlich nehmen
.
[right][snapback]86109[/snapback][/right]
Ich habe aus eigener Erfahrung die gleiche Einschätzung.
QUOTE
Somit kann man sich malwareupload.com wohl eher sparen...
Würde ich ebenfalls so sehen.
Geschrieben von: Frank_Henrich 28.03.2005, 11:55
QUOTE
Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten
Darum haben mache Mitarbeiter von "Malwareupload" den Beinamen Malwaretroll.
Fakt ist einfach, das Malware aller Art auf diese Weise in Hände von Leuten gelangt, von denen man nicht weis, wie gut Sie sich auskennen. Auch wenn die MalwareSamples Serverseitig gelöscht werden, werden wohl manche privaten MalwareDatenbanken etwas ausgebaut
(der Vorteil dabei ist natürlich, das einige PM's wie .."kannst du mir mal " .....aufhöhren)
mehr sag ich einfach nicht dazu
gruss Frank
Geschrieben von: raman 28.03.2005, 11:57
Obwohl ich die Dienste von Malware.com und auch unseren an sich nicht schlecht finde, ist seit es die Dienste von Jotti und Virustotal gibt, immer die erste Wahl diese Dinge dort zu pruefen. Es gibt eine direkte Antwort und im Fall eines Fundes kann man sich auf der Seite der AV-Hersteller schlau machen.
Anders sehe ich es, wenn es um Dateien geht, die man beim beantworten eines Hijackthis logs sieht. Besonders bei Downloadern. Inzwischen ist es bei einigen neuen Varianten unmoglich wirklich zu helfen, wenn man nicht die Moeglichkeit hat, die infection nachzustellen.
BTW Windows Exedateien pruefen: Dafuer ist die Norman "Online-Sandbox" genial!
http://sandbox.norman.no/live_4.html
Geschrieben von: *Christian* 28.03.2005, 13:42
QUOTE(JFK @ 28.03.2005, 08:40)
... die schnellere Antwort erhält man doch in der Regel bei jotti.org
Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware)
QUOTE(Lucky @ 28.03.2005, 09:37)
Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht?
Natürlich bekommen alle Hersteller das Sample, auch wenn es erst von uns als Malware identifiziert wurde.
QUOTE(Lucky @ 28.03.2005, 09:37)
Und ausserdem warum muss man sich da anmelden?
Wie sollten wir sonst den Uploader über das Ergebnis informieren?
QUOTE(Lucky @ 28.03.2005, 10:24)
Garnichts was mit deinen Daten passiert. Auch wenn ich davon ausgehen das diese nur zur Verwaltung der Infos benutzt werden, fände ich eine Information in der Hinsicht nicht verkehrt.
Wir hatten einen Satz drin, dass die Dateien nur für vertrauenswürdige Personen zugänglich sind.
Wir haben jedoch diesen Satz durch den ersetzt: Bei Dateien die Straftaten darstellen, halten wir uns die Option offen, diese den Strafverfolgungsbehörden zusammen mit sonstigen damit zusammenhängenden Daten weiterzugeben.
@IBK
Die Leute bekommen ihre Antwort bevor die Files an die AV-Hersteller gehen.
Bis jetzt wurde auch auf jeden Upload geantwortet.
Natürlich kann man die Files auch direkt an die Hersteller senden, aber welcher User hat schon Submit-Adressen von über 40 Vendors. Außerdem würde eine Antwort der AV-Hersteller wesentlich länger dauern.
QUOTE(Internetfan1971 @ 28.03.2005, 11:34)
Somit kann man sich malwareupload.com wohl eher sparen...
[right][snapback]86111[/snapback][/right]
Naja, erst schaut sich ja Jotti diese Files an - dann bekommen sie die Hersteller.
Geschrieben von: *Christian* 28.03.2005, 13:47
QUOTE(Frank_Henrich @ 28.03.2005, 12:54)
(der Vorteil dabei ist natürlich, das einige PM's wie .."kannst du mir mal " .....aufhöhren)
Sehr witzig ... manche schicken halt, manche nicht - den Leuten denen es nicht passt, brauchen sie nicht registrieren.
Geschrieben von: raman 28.03.2005, 13:52
Hi Christian,
QUOTE
Natürlich bekommen alle Hersteller das Sample, auch wenn es erst von uns als Malware identifiziert wurde.
Ich stehe so einem System nicht so kritisch gegenueber, wie einige andere, aber ich muss da mal eben nachhaken.
Was ist, wenn ihr etwas ueberseht? Sprich irgendwas Malware ist, aber ihr es nicht merkt. Bei einer Exe ist das unter VM vieleicht schnell auszumachen, bei einer DLL schon shwerer und bei einer "Treibermalware" wohl noch schlechter.
Ihr schickt also Dateien, deren Herkunft und Zusammenhang ihr nicht kennt und ihr fuer sauber haltet nicht weiter?
Geschrieben von: *Christian* 28.03.2005, 13:58
QUOTE(raman @ 28.03.2005, 14:51)
Ihr schickt also Dateien, deren Herkunft und Zusammenhang ihr nicht kennt und ihr fuer sauber haltet nicht weiter?
Nein, ich nicht.
Geschrieben von: IBK 28.03.2005, 14:02
QUOTE(*Christian* @ 28.03.2005, 14:41)
Naja, erst schaut sich ja Jotti diese Files an - dann bekommen sie die Hersteller.
Stimmt nicht. Bei Jotti können die Hersteller automatisch jeden File bekommen die sie wollen, auch die die von allen scannern als clean eingestuft wurden. Man muss nur bei den Einstellungen das angeben oder sonst auch direkt automatisch downloaden lassen wenn man die adresse kennt und man zugangsberechtigt ist.
Geschrieben von: raman 28.03.2005, 14:06
Bei Jotti gibt es mehrere Moeglichkeiten. Entweder automatische Benachrichtigung/versenden von verpassten Samples, oder auch zugriff ueber FTP(?).Er ueberprueft Dateien wohl nicht selber, sondern schickt das was nicht erkannt wird an die Normansandbox und falls noetig an KAV.
....und nein, wir haben keinen Zugriff auf die Malware!
Geschrieben von: IBK 28.03.2005, 14:13
Soviel ich weiß überprüft Jotti gar keine Malware. Und das mit Norman und Kav ist glaub ich auch nicht so. Es wird nur täglich übreprüft ob das was zuvor von niemanden erkannt wird inzwischen erkannt wird (weil man eben auch clean files bekommt).
Geschrieben von: Lucky 28.03.2005, 14:18
QUOTE(*Christian* @ 28.03.2005, 14:41)
Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware)
[right][snapback]86151[/snapback][/right]
Was ist an der Aussage "Undetected Malware" genauer?
- björn
Geschrieben von: *Christian* 28.03.2005, 14:24
Wir bekommen täglich auch sehr viel Malware, die noch unerkannt ist.
Somit würde sie auch Jotti oder virustotal nicht als Malware identifizieren.
Geschrieben von: IBK 28.03.2005, 15:21
QUOTE(*Christian* @ 28.03.2005, 14:41)
Natürlich kann man die Files auch direkt an die Hersteller senden, aber welcher User hat schon Submit-Adressen von über 40 Vendors. Außerdem würde eine Antwort der AV-Hersteller wesentlich länger dauern.
Wäre es dann nicht sinnvoller, wenn ihr sagt wer diese 40 Hersteller sind und deren Adressen an denen sich die User wenden können auflistet? Wie z.B. hier: http://www.av-comparatives.org/forum/viewtopic.php?t=10
Geschrieben von: Bo Derek 28.03.2005, 15:27
Das wurde doch getan:
http://www.trojaner-board.de/showpost.php?p=121636&postcount=6
Bevor jetzt jemand den Ort der Info bemängelt, der Thread wurde in diesem im ersten Beitrag unter "Weitere Erklärung und Infos" verlinkt.
Geschrieben von: IBK 28.03.2005, 17:28
Endgültiger Kommentar zum malwareupload service:
1) Es wurde ein Sample geuploadet, welches von den meisten AVs zwar erkannt wird, aber als bekanntes garbage sample gilt. Nach etwa einer Stunde kam als antwort das file sei "xxxx" (als name wurde nur ein generischer name genannt; absolut kein hinweis dass das sample beschädigt/garbage ist).
2) Ok, da dachte ich mir, die geben nur umfangreiche analysen bei undetected malware (wie oben gesagt wurde) und hab ein sample geuploadet welches nur von ein AV als trojaner erkannt wird (generischer name welches keine rückschlüsse gibt auf was es anstellt) und alle anderen noch nicht erkennen. Nach 30 minuten kam als antwort (wieder nur sehr kurz): clean
In der Antwort stand also nichts bezüglich was das file überhaupt ist, was es anstellt, ob es ein AV gibt welches das sample als trojaner erkennt usw. Und das soll eine umfangreiche hilfreiche antwort/analyse sein?
BTW: ja, es ist ein hinterhältiger trojaner; wenn die analyse genauer gewesen wäre, hätte man zumindest warnen können, was das file anstellt und wie man es entfernt.
Mein Fazit: malwareupload ist sinnlos und nur zeitraubend für die AV-Hersteller.
Geschrieben von: Stefan 28.03.2005, 18:01
Wie sieht es denn mit der Sandbox von Norman bei Jottis aus, stuft die das allgemein unbekannte Sample denn wenigstens als verdächtig ein?
Geschrieben von: IBK 28.03.2005, 18:04
Nein (Not detected by sandbox), weder auf jotti, noch auf sandbox.norman.com
Geschrieben von: *Christian* 28.03.2005, 18:25
QUOTE(IBK @ 28.03.2005, 18:27)
Mein Fazit: malwareupload ist sinnlos und nur zeitraubend für die AV-Hersteller.
[right][snapback]86198[/snapback][/right]
So wie wahrscheinlich auch manche AV-Tests und die frag- und merkwürdigen Kriterien.
Von umfangreicher Analyse war nie die Rede - beim derzeitigem Aufkommen schon gar nicht.
Geschrieben von: IBK 28.03.2005, 18:40
QUOTE(*Christian* @ 28.03.2005, 19:24)
So wie wahrscheinlich auch manche AV-Tests und die frag- und merkwürdigen Kriterien.
Stimmt, aber dabei denke ich nicht an mich
.
QUOTE(*Christian* @ 28.03.2005, 19:24)
Von umfangreicher Analyse war nie die Rede
QUOTE(*Christian* @ 28.03.2005, 14:41)
Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware)
Man braucht nicht mal 10 Minuten um zu sehen was das File anstellt. Ihr sagtet doch in ein anderes Forum:
"If you´re interested in the analysis process:
1. scanning wirh kav extended sigs
2. scanning with peid for known packers
3. unpacking and viewing with ultraedit
4. analysing with PE Explorer for known strings/urls/etc.
-> if thats not enough to see the file is malware next step follows
5. running on a virtual machine, with fileedit, regedit and packet sniffer etc."
Und ebenso wurde gesagt: "But remeber Yotti and Virustotal use virusscanners which are only as good as their engines and signatures. We use Brain 1.0 which may need one update in future only" <- die engines sind da wohl besser als der eingesetzte Brain :-P
Auf der Website steht: "Wir bieten Internet-Usern die Möglichkeit verdächtige und infizierte Dateien auf www.malwareupload.com hochzuladen und von uns auf Malwaresymptome überprüfen zu lassen"
Was habt ihr da überprüft wenn als Antwort nur "clean" kam? Wenn es schon so unzuverlässig ist (wenn es von Hand analysiert wird nimmt man an dass wenn jemand sagt es sei clean dann ist es auch so) hättet ihr zumindest rückschreiebn können dass ihr nicht in der lage gewesen seid den trojaner zu erkennen und ihr somit nicht sagen könnt ob das file clean ist oder nicht.
Nochmal: es ist für die User sinnvoller wenn sie die verdächtigen Dateien direkt an die Hersteller schicken, die eine genauere und zuverlässigere Analyse geben können anstatt sie an Mittelmänner zu schicken (die dann das sample eh nicht weiterleiten weil sie es als clean betrachten).
QUOTE(*Christian* @ 28.03.2005, 19:24)
- beim derzeitigem Aufkommen schon gar nicht.
So ein großes Aufkommen kann ich mir bei malwareupload nicht vorstellen. Da hättest Du Dir lieber ein paar Tage mehr Zeit gelassen und das File ordentlich analysiert anstatt nach 30 Minuten einfach zurückzuschreiben dass es clean sei.
Nochmal: wer verdächtige Dateien hat, solle sie doch bitte an die Hersteller schicken und nicht an Leute die nur an Malware rankommen wollen.
Geschrieben von: *Christian* 28.03.2005, 18:52
QUOTE(IBK @ 28.03.2005, 19:39)
Stimmt, aber dabei denke ich nicht an mich
.
Du nicht – andere vielleicht schon.
QUOTE(IBK @ 28.03.2005, 19:39)
... an die Hersteller schicken, die eine genauere und zuverlässigere Analyse geben können
Keine Frage, dass dies zuverlässiger und genauer wäre.
QUOTE(IBK @ 28.03.2005, 19:39)
So ein großes Aufkommen kann ich mir bei malwareupload nicht vorstellen
Schwaches Vorstellungsvermögen.
Bis vor wenigen Tagen hatte Rokop-Security die Files erhalten – und somit müsstest du sie ja auch gesehen haben.
Im übrigen kann ich mir nicht vorstellen, dass ich das File gesehen habe, welches als sauber eingestuft wurde.
Geschrieben von: IBK 28.03.2005, 19:03
QUOTE(*Christian* @ 28.03.2005, 19:51)
Schwaches Vorstellungsvermögen.
Im übrigen kann ich mir nicht vorstellen, dass ich das File gesehen habe, welches als sauber eingestuft wurde.
Ihr habt gesagt ihr bekommt 50 files am tag. wenn das schon als viel bezeichnet wird, dann sollte man damit aufhören.
Als Antwort kam:
"Hallo, Wir haben Ihre Datei .... überprüft und kamen zu folgendem Ergebnis: sauber"
Nun, egal wer jetzt das File letzendlich untersucht hat, es wird erwartet dass die Analyse von der Person stimmt. Wenn diese Person das nicht kann, sondern nur Du, dann ist diese Person dort fehl am Platze und Du solltest alle Samples die diese Person als clean eingestuft hat nochmal checken und sehen ob Du in der Lage bist zu sehen was das File anstellt.
Geschrieben von: *Christian* 28.03.2005, 19:10
QUOTE(IBK @ 28.03.2005, 20:02)
Ihr habt gesagt ihr bekommt 50 files am tag.
Zu diesem Zeitpunkt - ja.
QUOTE(IBK @ 28.03.2005, 20:02)
Nun, egal wer jetzt das File letzendlich untersucht hat, es wird erwartet dass die Analyse von der Person stimmt. Wenn diese Person das nicht kann, sondern nur Du, dann ist diese Person dort fehl am Platze und Du solltest alle Samples die diese Person als clean eingestuft hat nochmal checken und sehen ob Du in der Lage bist zu sehen was das File anstellt.
Du ziehst es ins lächerliche. Ich meine ich kann dazu nichts sagen, weil ich das File nicht bewertet habe.
Die Person, die das File angeschaut hat, ist ganz gewiss nicht fehl am Platze.
Die Adresse hast du ja - warum frägst du nicht nach und fragst warum es als clean eingestuft wurde?
Geschrieben von: IBK 28.03.2005, 19:23
QUOTE(*Christian* @ 28.03.2005, 20:09)
Du ziehst es ins lächerliche. Ich meine ich kann dazu nichts sagen, weil ich das File nicht bewertet habe.
Die Person, die das File angeschaut hat, ist ganz gewiss nicht fehl am Platze.
Die Adresse hast du ja - warum frägst du nicht nach und fragst warum es als clean eingestuft wurde?
Also bitte. Sollte jeder User der etwas uploadet um zu erfahren ob das file infiziert ist oder sauber ist, nachdem ihr schreibt dass es sauber ist nochmals nachfragen warum es sauber ist? Wie wäre dann die Antwort? Das file ist sauber weil derjenige der es analysiert hat es als sauber eingestuft hat obwohl es natürlich ein trojaner ist?
Entweder es ist sauber oder nicht. Was gibt es da zu diskutieren?
Außerdem sieht dass doch jeder (siehe anhang). das heruntergeladene sample ist dann auch ein trojaner.
Geschrieben von: *Christian* 28.03.2005, 19:29
Nein, aber du frägst mich warum es nicht erkannt wurde, obwohl ich das File nicht gesehen habe.
Komm, lass gut sein. Du verschwendest nur deine kostbare Zeit.
Geschrieben von: bond7 28.03.2005, 19:35
@*Christian*
vll. geht es ja auch darum weil du werbung für die URL machst und schon mind. 1 malware-file nicht erkannt wurde und es starke hinweise auf unsaubere arbeitsweisen des service gibt.
Geschrieben von: IBK 28.03.2005, 19:36
Ok, dann checke mal MP3CONVERTER.EXE welches von Marc (von dem ich ausging dass er besser analysieren kann als Du) als sauber eingestuft wurde. Ich bitte um eine eine Erklärung warum Marc das File als sauber eingestuft hat und sich der User darüber keine Sorgen zu machen braucht.
Noch was: das erste Sample wurde von Dir analysiert; warum hast Du nicht gesehen dass es sich um Garbage handelt? Hast Du es einfach nur mit den AVs gescannt und mir dann gesagt als was es erkannt wird ohne es zu analysieren?
Und btw: auf http://www.dslreports.com/forum/remark,12848256? gab es auch mal was zu lesen
Geschrieben von: docprantl 28.03.2005, 21:28
QUOTE(Lucky @ 28.03.2005, 09:37)
Und ausserdem warum muss man sich da anmelden? [right][snapback]86097[/snapback][/right]
Darin sehe auch ich keinen Sinn und bitte um Erklärung.
docprantl
Geschrieben von: MatzeHJT 28.03.2005, 22:58
Die Registrierungspflicht habe ich gemacht, damit keiner mehr irgendwelche (Kinder-)Pornobildchen hochlädt.
Ich und einige andere Leute kennen die Methoden von Avcomperatives und ich glaube du bist hier nur so sauer, weil du nicht in unserer Submit-Liste stehst.
Zum Analysevorgang oder Submitvorgang kann ich hier allerdings nichts sagen, da ich damit nichts zu tun habe und nur die Programmierung im Hintergrund mache.
Dies war mein erster und letzter Kommentar in diesem Post, da ich keine Lust habe hier mit zu streiten. Sorry.
Geschrieben von: IBK 28.03.2005, 23:10
Die Samples die ihr habt habe ich sowieso und wenn nicht dann bekomme ich sie halt 2 wochen später von den av herstellern. Ich bin nicht gekränkt weil ich nicht auf eurer liste stehe. ich sehe nur keinen sinn in eurer website, da ihr keine richtige analyse liefert und es nur die wartezeiten für updates von den av herstellern verlängert.
Die Methoden von AV-comparatives sind öffentlich zugänglich, darum kennt sie auch jeder. Meine begründete Kritik zu euer service mit unbegründeter kritik an den tests zu antworten ist auch nicht gerade nett.
Wenn Du nichts mit dem Analysevorgang zu tun hast, wer ist und warum hat *marc ' ad ' hijackthis.de* geantwortet dass das File sauber sei?
Immer wenn etwas aufgedeckt wird und es brenzlig wird wo ihr keine vernünftigen Argumente mehr bringen könnt, wird gesagt dies war das letzte posting zum thema (siehe auch bei dslreports wo ein echter Virenanalyst nachfragte ob sie wirklich in der lage wäre die samples zu analysieren und dieses service in sinnvoller art und weise zu betreiben). Hier geht es nicht darum mit euch zu streiten, sondern um euch zu zeigen dass euer service so nicht wirklich was bringt; sowas nenne ich "scheinsicherheit" .
Geschrieben von: Witti 28.03.2005, 23:27
QUOTE(MatzeHJT @ 28.03.2005, 23:57)
Die Registrierungspflicht habe ich gemacht, damit keiner mehr irgendwelche (Kinder-)Pornobildchen hochlädt.
Das ist kein Argument für eine Registrierung.
1. Warum sollte Euch jemand Kinder-Pornos schicken? Was hätte er davon, außer Ärger zu bekommen? Diesen Fall halte ich für wahrscheinlich wie einen Sechser im Lotto.
2. Ihr hättet dadurch keine Probleme. Ihr müsst die Datei nur sofort löschen (Beweissicherung ist eine rechtliche Grauzone und nicht uneigeschränkt empfehlenswert).
3. Ein Registrierzwang ist in diesem Fall kaum effektiv: Jemand, der mit solchen Sachen hantiert, ist sich i.d.R. der Strafbarkeit bewußt. Falls er Euch also aus irgendwelchen Gründen soetwas schicken möchte, wird er kaum brauchbare Daten angeben. Einfaches IP-Loggen wäre also völlig ausreichend (und würde immer noch nicht zwangsläufig etwas ergeben).
Geschrieben von: MarcHJT 29.03.2005, 00:11
An IBK, Witti und docprantl:
Wie bei sicherlich allen neuen Projekten ist konstruktive Kritik auch hier sehr willkommen. Gerne könnt ihr eure Fragen, Probleme und Anregungen per E-Mail oder zu späterer Stunde im Chat (http://chat.hijackthis.de/) stellen.
Bewusst wähle ich die direkte Kommunikation, um persönliche Angriffe und Verkehrung von Aussagen zu vermeiden.
An IBK (oder einen Admin):
Bitte mache meine E-Mail Adresse für Spambots unkenntlich.
An Witti:
Wir haben deine Kritik zum Registrierungszwang aufgenommen und werden uns darüber in unserer nächsten Sitzung erneut beraten. Bis dahin lässt sich allerdings nichts daran ändern.
Geschrieben von: Heike 29.03.2005, 00:52
QUOTE(MarcHJT @ 29.03.2005, 01:10)
Bewusst wähle ich die direkte Kommunikation, um persönliche Angriffe und Verkehrung von Aussagen zu vermeiden.
Ich wüßte nicht, was an einer Aussage, dass ein schädliches File als clean beurteilt wurde, zweideutig sein kann.
Das solche Dinge aber zukünftig lieber hinter verschlossenen Türen besprochen werden sollen, ist nicht gerade vertrauensbildend.
Derartige Postings sollten dann bitte vorerst unterbleiben, weil lediglich Scheinsicherheit vermittelt wird.
QUOTE
Original von *Christian*
http://www.malwareupload.com
Derzeit wahrscheinlich der genaueste und zuverlässigste File-Checker im Web.
Geschrieben von: Jens1962 29.03.2005, 09:33
Moin,
das Ganze hier kommt mir vor wie im a2-Forum. Ein User spricht eine Sache an, die wohl nicht so ganz sauber ist (freundlich ausgedrückt). Was passiert aber? Statt daß alle Alarmglocken angehen, wird erstmal der Fragesteller verbal plattgemacht.
Sollten die Fragen und Meinungen etwa ein Volltreffer gewesen sein? Wozu eine weitere Sammelstelle für Malware notwendig ist, habe ich noch nicht verstanden. Vielleicht schafft Ihr es ja, diese Sache aufzuklären.
Ich finde es auch "Spitze", wenn ich mich registrieren muß, um eine verdächtige Datei hochzuladen. Die Begründung "Bildchen" zieht bei mir nicht wirklich, da es sich bei einer solchen Datei durchaus um einen Mailanhang handeln kann, bei dem ein User nicht sicher ist, was drin steckt.
Übrigens, da es "das neueste Projekt von hjt.de" ist, dazu noch 2 Sachen.
Als erstes erstmal Danke für die Arbeit, die Ihr Euch damit macht, ist ein ziemlich gutes Hilfsmittel.
Was macht Ihr aber mit den Info's über Programme, die die automatische Auswertung anmeckert, die Ihr aber als "gut" gemeldet bekommt? Daß da etwas eingearbeitet wurde, konnte ich bisher nicht feststellen.
Jens
Geschrieben von: Lucky 29.03.2005, 09:40
Die erste Kritik am Login kam von mir oder?
Naja egal. Was den Upload betrittft, man kann doch in PHP Funktionen einstellen welche Art von Dateien erlaubt sind hochzuladen. So kann man z.B. eure "Porno"bildchen verhindern, das sie hochgeladen werden.
Ausserdem sollte man zu jedem Upload IP + Datum/Uhrzeit speichern, finde ich.
- björn
Geschrieben von: IBK 29.03.2005, 14:05
Kleine Anmerkung: ich hab die Datei an KAV (u.a.) geschickt, und die haben gleich gesehen dass es sich um Malware handelt:
MP3CONVERTER.EXE infected: Trojan.Win32.Redvip.b
Es ist also doch besser wenn die User sich direkt an die Hersteller wenden
Geschrieben von: Rios 29.03.2005, 15:08
Hallo IBK,
nach dem Motto gut, sicher, Kaspersky
Geschrieben von: Yopie 29.03.2005, 16:44
QUOTE(Lucky @ 29.03.2005, 10:39)
Naja egal. Was den Upload betrittft, man kann doch in PHP Funktionen einstellen welche Art von Dateien erlaubt sind hochzuladen. So kann man z.B. eure "Porno"bildchen verhindern, das sie hochgeladen werden.
[right][snapback]86280[/snapback][/right]
Wie siehts mit präparierten JPEGs aus (JPEG-Exploit)? Da war doch mal was...
Ich hab mich in solchen Fällen, wenn Jotti nichts fand oder bei Verdacht auf Fehlalarm, allerdings auch immer an Kaspersky und auch mal an rokop gewendet (oder heiß es gewandt?). Und ich sehe bislang keinen Grund, das in Zukunft anders zu machen.
Geschrieben von: docprantl 29.03.2005, 17:22
QUOTE(MatzeHJT @ 28.03.2005, 23:57)
Die Registrierungspflicht habe ich gemacht, damit keiner mehr irgendwelche (Kinder-)Pornobildchen hochlädt.[right][snapback]86266[/snapback][/right]
Das mag so sein, aber wo registriere ich mich auf der Seite?
docprantl
Geschrieben von: Bo Derek 29.03.2005, 17:34
Ich tippe mal auf "Login für neue Benutzer"...
Geschrieben von: docprantl 29.03.2005, 17:45
Jetzt habe ich es gefunden.
Geschrieben von: docprantl 29.03.2005, 18:10
Ich habe gerade etwas hochgeladen. Jetzt bin ich gespannt...
Geschrieben von: docprantl 29.03.2005, 18:33
Soeben bekam ich eine Antwort per Mail und bin schwer begeistert:
QUOTE
Hallo,
Wir haben Ihre Datei _chameleonButton.ocx überprüft und kamen zu folgendem Ergebnis:
http://gonchuki.wsoftware.net/cb_main.html
Diesen Service muß ich öfter nutzen! Er spart mir doch glatt die Suche bei Google nach dem Dateinamen.
docprantl
Geschrieben von: raman 29.03.2005, 19:03
Die muessen davon ausgehen, das du zu "doof" bist dir diese Information selber zu besorgen, sonst haettest du die Datei ja nicht eingeschickt!
Also ist die Antwort diesmal korrekt.
BTW: Man kann es auch ins laecherliche ziehen...
Geschrieben von: bond7 29.03.2005, 19:06
kann das sein, das der link http://gonchuki.wsoftware.net/cb_main.html garnicht geht ?! hmm
Geschrieben von: docprantl 29.03.2005, 19:18
QUOTE(raman @ 29.03.2005, 20:02)
Die muessen davon ausgehen, das du zu "doof" bist dir diese Information selber zu besorgen
Sorry, aber es ist eine bösartige Unterstellung, davon auszugehen, der Kunde sei "doof".
QUOTE
sonst haettest du die Datei ja nicht eingeschickt!
Ich schicke eine Datei ein, weil ich doof bin? Dabei kann ich dir nicht folgen... Außerdem führte der angezeigte Link zu einer englischsprachigen Seite.
QUOTE
Also ist die Antwort diesmal korrekt.
Aber nur für geeignete Werte von "korrekt". Die Nennung der enthaltenen Malware bzw der von dieser ausgehenden Bedrohung gehört definitiv nicht dazu.
QUOTE
BTW: Man kann es auch ins laecherliche ziehen...
Dafür sorgen die Betreiber schon selbst.
docprantl
Geschrieben von: Manu 29.03.2005, 19:19
QUOTE(bond7 @ 29.03.2005, 20:05)
kann das sein, das der link http://gonchuki.wsoftware.net/cb_main.html garnicht geht ?! hmm
[right][snapback]86349[/snapback][/right]
Nein, kann nicht sein.
Geschrieben von: raman 29.03.2005, 19:40
QUOTE(docprantl @ 29.03.2005, 20:17)
Sorry, aber es ist eine bösartige Unterstellung, davon auszugehen, der Kunde sei "doof".
Dann uebersetze "doof" durch "nicht in der Lage zu sein Google zu nutzen", darum sehe ich nichts schlimmes darin einen Link zu geben, den man selber ueber Google gefunden hat. Ob man die Antwort nicht vieleicht etwas ausfuehrlicher gestalten haette koennen, lassen wir mal dahingestellt.
[ins laecherliche ziehen...]
QUOTE
Dafür sorgen die Betreiber schon selbst.
Das man da eine Datei als clean identifiziert hat, die Malware ist, ist natuerlich schlecht.
Sowas darf, wenn man so einen Dienst anbietet, nicht passieren. Es muss davon ausgegangen werden, das das kein Einzelfall war.
Wenn ich nicht definitiv weiss, ob die Datei sauber ist, darf ich es nicht behaupten!
Geschrieben von: docprantl 29.03.2005, 21:49
QUOTE(raman @ 29.03.2005, 20:39)
Ob man die Antwort nicht vieleicht etwas ausfuehrlicher gestalten haette koennen, lassen wir mal dahingestellt.
Nein, ich finde, genau das ist der entscheidende Punkt. Bei
den Antworten kann ich mir die Benutzung dieses Dienstes sparen.
docprantl
Geschrieben von: raman 29.03.2005, 21:51
Da habe ich mich wohl falsch ausgedrueckt, denn da bin ich ganz deiner Meinung.
Geschrieben von: docprantl 29.03.2005, 21:53
Supi!
Geschrieben von: IBK 01.04.2005, 17:19
Neues Beispiel: Ein Sample welches eindeutig nicht funktioniert aber von manchen AVs trotzdem noch erkannt wird wurde an malwareupload geschickt. Beim Uploaden wurde um eine Analyse der Datei gebeten, da der User sich unsicher war was mit dem File los ist da es zwar von seinem AV erkannt wird aber er mehr dazu wissen wollte.
Als Antwort kam nach einer Stunde:
"Hallo,
Wir haben Ihre Datei msupdate.exe überprüft und kamen zu folgendem Ergebnis:
TrojanDownloader.Small.aaq
Danke!
Gruß,
Christian"
Da es sich diesmal um Christian handelt, kann man vielleicht diesmal eine Stellungnahme dazu erwarten. Denn wiederrum wurde die Datei eindeutig nicht angeschaut, sondern lediglich gesagt als was es von einem Scanner erkannt wird, was eigentlich der User schon wusste, aber um eine Analyse gebeten hatte um zu wissen was mit seinem System geschah.
Von Einzelfällen kann hier absolut nicht mehr die Rede sein; 3 Versuche und 3 mal hat malwareupload versagt; und zwar nicht nur Christian, sondern auch Marc (und ich glaube es sind nur diese zwei die theoretisch die Files ansehen).
Also, wo bleibt die Analyse?
Geschrieben von: Remover 01.04.2005, 18:10
@IBK
Wobei man sich echt darueber streiten kann, ob ein nicht lauffaehiges Malware Sample
nicht trotzdem erkannt werden sollte.
Schliesslich muss es ja im Normalfall, irgendwie auf die Platte geraten sein.
Geschrieben von: IBK 01.04.2005, 18:15
Es geht hier nicht darum dass es von AV erkannt wird, sondern um die fehlende Analyse. Denn um nur zu erfahren als was etwas erkannt wird, ist z.B. ein Online scanner oder z.B. Jotti viel besser, da man dort nicht eine Stunde auf ein Ergebnis warten muss. Es wurde um eine Analyse gebeten, und die wurde eindeutig nicht durchgeführt.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)