Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> unbekannter ADS -> RDS : NSRL Reference Data Set?
Gast_Beobachter_*
Beitrag 30.12.2009, 13:02
Beitrag #1






Gäste
Hallo Leute,

Ich habe heut bei meinem Windows7 System einen verdächtigen ADS entdeckt, der an "c:Windows" angehängt war. Bei upload bei Virustotal
ergab als Hinweis dies

MD5 : 529917fa550eea5a8cc0db00ca803e2b
SHA1 : 0588a5c17d46c2b67fd4708adf9ad675cef15c71
SHA256: 1f783b232a5e1890dde9855defd2f58096b53dac28b3eac6cf588cd04c8f174f
TrID : File type identification
Unknown!
ssdeep: 3:ol2Rvlt/:VJv
PEiD : -
RDS : NSRL Reference Data Set

weitere Recherchen brachten mich zu dieser Seite

http://www.nsrl.nist.gov/

kann mir jemand das mal erklären bitte? Ansonsten bin ich ganz schnell wieder bei XP.

mfg Beobachter

Der Beitrag wurde von Manu bearbeitet: 02.01.2010, 01:59
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Gast_Beobachter_*
Beitrag 02.01.2010, 00:18
Beitrag #2






Gäste
@Solution-Design

Zitat: Ganz sicher? Irgendwo musst du das doch gelernt haben. Zitat Ende

Den hättest du dir schenken können...

...und die Zeit die du in deinen Post gesteckt hast, um mich über die Forenregeln zu belehren, hättest du lieber mit dem Formulieren von Aussagen zum eigentlichen Thema nutzen sollen.
Das sich Leute überschätzen und meinen über andere Leute urteilen zu können erlebe ich immer wieder. Es gibt sie in sogut wie allen Foren. Ich nenne sie "Die Aufpasser", welche sich dadurch
auszeichnen, das sie meistens noch vor den Admins oder Moderatoren dabei sind irgendwelche Nutzer wegen Banalitäten (Meistens irgendwelche Formsachen oder Rechtschreibschwächen) nieder zu machen. Mag sein das mein Ton hier und da manchmal etwas rauh ist, weil mein Weg eben nicht der "geradliniege" war, aber du musst meine Post's auch nicht lesen, es zwingt dich keiner.

Ich habe hier vorallem Hilfe gesucht, und dank einiger User auch gefunden. Sieh mir das bitte nach, es wird nicht wieder vorkommen. Im übrigen werde ich einen Moderator bitten den Threadtitel zu ändern.

mfG Beobachter
Go to the top of the page
 
+Quote Post
dragonmale
Beitrag 02.01.2010, 03:21
Beitrag #3



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.413
Mitglied seit: 17.11.2003
Mitglieds-Nr.: 4.706
@Beobachter,
vielleicht interpretiere ich diese Äußerung
ZITAT(Beobachter @ 02.01.2010, 00:17) *
[...] es wird nicht wieder vorkommen.

jetzt ja auch nur falsch, aber es soll durchaus auch Sinn machen, nicht alles ständig gleich übers Knie brechen zu wollen ... wink.gif

Apropos Voreiligkeit -> Deine Bedenken, welche Du (generell gesehen) sicherlich nicht nur alleine teilst, jetzt mal in Ehren, aber das, was Du hier anführst, erklärt trotzdem nicht Deine Gedankensprünge und ich denke mal, dass ich nicht der Einzige bin, der Dir nicht wirklich folgen kann ... Ich rekapituliere mal:

- Du hattest einen, an den Windows-Ordner angehängten, ADS gefunden, zu dem Du in Erfahrung bringen wolltest, ob er zur Standartausrüstung von Microsoft gehört -> was hier allerdings allgem. verneint wurde ...

- Du lädst diesen ADS auf VirusTotal hoch und fängst auf Grund des dortigen (eigentlich diesbezüglich nichtssagenden) Ergebnisses an, entsprechende Recherchen durchzuführen. Als Basis Deiner Recherchen dient Dir dabei offensichtlich die Tatsache, dass von diesem Service (also VirusTotal -> und nicht jemand anders!) Prüfsummen, dieser Datei, erstellt wurden und dass im Ergebnis, unter "weitere Informationen", außerdem noch dieser Vermerk zu finden ist: "RDS : NSRL Reference Data Set" -> Mal abgesehen davon, dass unter diesem Vermerk vermutlich (denn ansonsten hättest Du es ja gepostet) nur ein Strich (also keinerlei weitere Info) zu finden ist, werden Prüfsummen, auf VirusTotal, generell von jeder Datei erstellt und dieser "mysteriöse" Vermerk "RDS : NSRL Reference Data Set", welcher Dich offensichtlich (?) zu entsprechenden Suchergebnissen geführt hat, ist außerdem unter jeder Datei-Info, auf VirusTotal, zu finden -> Weshalb recherchierst Du also entsprechend?
Dieser (Deiner) Logik folgend, dürftest Du dann auch kein Windows-XP (oder was auch sonst noch) mehr installieren ... wink.gif

- Des Weiteren gibst Du seltsamerweise keinerlei Info darüber, was dieser ADS nun eigentlich wirklich enthielt (?) -> und eben genau das, wäre doch eigentlich der interessanteste/wichtigste Punkt, zur Beurteilung, dieser Geschichte gewesen ...

Sicherlich kann man Prüfsummen (und entsprechende Datenbanken) auf unterschiedliche Art und Weise nutzen und man kann ihren Nutzen natürlich ebenso positiv, wie auch negativ, bewerten/sehen (was aber wiederum natürlich auch vom Standpunkt des jeweiligen Betrachters abhängt) -> Allerdings erschließt es sich mir nicht, wie Du an Hand der Infos, welche Du hier veröffentlicht hast, zu solchen Schlussfolgerungen kommst? Was haben z.B. die Prüfsummen des ADS an sich überhaupt mit diesem Thema zu tun? So gesehen könnte man doch auch bei jeder anderen Infektion zu solchen Schlussfolgerungen kommen, oder etwa nicht?
Wie schon gesagt, (und vielleicht steht mir ja auch nur jemand auf meiner Leitung) ich kann dem so jedenfalls nicht folgen -> Oder enthielt etwa der ADS eine entsprechende Liste, z.B. mit den Prüfsummen des gesamten Windows-Ordners? -> denn so könnte ich Dir schon eher folgen ...

P.s.:
Allen hier ein glückliches und gesundes Neues Jahr!

Der Beitrag wurde von dragonmale bearbeitet: 02.01.2010, 03:31


--------------------
"Alle Menschen werden als Original geboren,
doch die meisten sterben als Kopie"

(Ernst Niebergall)
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- Beobachter   unbekannter ADS -> RDS : NSRL Reference Data Set?   30.12.2009, 13:02
- - Beobachter   hier noch was... http://www.thefreelibrary.com/NI...   30.12.2009, 13:13
- - ahora2010   ist das nicht sowas wie dieses relevant knowledge,...   30.12.2009, 13:20
- - KHL64   Hallo Beobachter, gib mal bitten den genauen Pfad ...   30.12.2009, 13:20
- - Beobachter   Dieser ADS hängt direkt an meinem Systemverzeichni...   30.12.2009, 13:25
- - Ford Prefect   Habe nur kurz mit Dir /r geschaut - da kann ich un...   30.12.2009, 13:49
- - Joerg   Windows 7 32bit Home Premium: Kein ADS an C:...   30.12.2009, 13:50
- - Beobachter   @Ford Perfekt zeigt der Dir Befehl den überhaupt A...   30.12.2009, 13:53
|- - Ford Prefect   ZITAT(Beobachter @ 30.12.2009, 13:52) @Fo...   30.12.2009, 14:41
- - Julian   Bei mir unter Seven x64 ebenfalls nichts (*Überras...   30.12.2009, 15:47
- - dragonmale   Hallo Beobachter, jetzt mal abgesehen davon, woher...   30.12.2009, 19:12
- - Beobachter   @All ich habe hier etwas dazu gefunden, und das b...   30.12.2009, 21:35
|- - Metabolit   ZITAT(Beobachter @ 30.12.2009, 21:34) @Al...   30.12.2009, 23:11
||- - blueX   ZITAT(Metabolit @ 30.12.2009, 23:10) Solc...   31.12.2009, 00:20
|- - SebastianLE   ZITAT(Beobachter @ 30.12.2009, 21:34) Dar...   31.12.2009, 12:38
- - Metabolit   Mach Dir doch dein System mit Windows 7 neu und sc...   30.12.2009, 22:34
- - Catweazle   Hä, was leuft noch besser für welche "schnüff...   30.12.2009, 22:44
- - Gregor   Bei mir ist auch nix von ADS zu sehen...   31.12.2009, 00:25
- - Metabolit   @BlueX Nichts für dieses Forum Aber ich sags ma...   31.12.2009, 02:23
- - Beobachter   @Sebastian ich zitiere mal This project is supp...   31.12.2009, 16:56
- - SebastianLE   @Beobachter: gelesen hatte ich die Links. UND? Fak...   31.12.2009, 17:18
- - TheSentinel   Frohes Neues Jahr und alles Gute für Euch alle Na...   01.01.2010, 00:28
- - Sasser   Du nutzt Suse, Vista, XP nun auch Windows 7... da ...   01.01.2010, 03:24
- - Beobachter   zum Schreibstil... ja ja , wenns nicht der eigene...   01.01.2010, 06:51
|- - Solution-Design   ZITAT(Beobachter @ 01.01.2010, 06:50) zum...   01.01.2010, 21:09
- - Sasser   Es gibt einige Bereiche die Paralellen zeigen RFID...   01.01.2010, 13:53
- - markusg   hi, nur weil die nsa da mitgearbeitet hat, gehts z...   01.01.2010, 19:22
- - winchester   Warum soll man eigentlich seine Verärgerung nicht ...   02.01.2010, 00:16
- - Beobachter   @Solution-Design Zitat: Ganz sicher? Irgendwo mus...   02.01.2010, 00:18
|- - dragonmale   @Beobachter, vielleicht interpretiere ich diese Äu...   02.01.2010, 03:21
- - Solution-Design   @winchester Es heißt Bild, nicht Computerbild. Es ...   02.01.2010, 07:51
- - Beobachter   @dragonmale Den ADS Stream habe ich gesichert. Mo...   02.01.2010, 12:21
|- - dragonmale   @Beobachter, ZITAT(Beobachter @ 02.01.2010, 1...   02.01.2010, 18:51
- - markusg   naja es ist unwahrscheinlich das jemand mit einem ...   02.01.2010, 12:45
- - scu   @Beobachter: Handelt es sich bei dir um eine Lapto...   02.01.2010, 15:23
- - Beobachter   @SCU es ist ein Desktoprechner @dragonmale guck...   03.01.2010, 01:32
|- - dragonmale   @Beobachter, mir ist zwar unklar wieso, aber wir r...   03.01.2010, 19:43
- - aido   NSLR ist eine Datenbank die jedem Entwickler frei ...   03.01.2010, 10:03
- - Solution-Design   So langsam ein Fall für http://www.x-ways.net/winh...   03.01.2010, 20:07
|- - dragonmale   ZITAT(Solution-Design @ 03.01.2010, 20...   03.01.2010, 20:25
- - dragonmale   Ich muss mich korrigieren, denn plötzlich erschein...   03.01.2010, 23:04
- - aido   Ja ist genauso wie ich weiter oben beschrieben hab...   03.01.2010, 23:27
|- - dragonmale   @aido, die eigentliche Beschreibung (allerdings in...   03.01.2010, 23:51
- - Zwergnase   Streamfinder in deutsch + Windows (nicht Kommandoz...   04.01.2010, 14:09

« Vorhergehendes Thema · Schutzprogramme · Folgendes Thema »
 

Reply to this topicStart new topic
6 Besucher lesen dieses Thema (Gäste: 6 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 06.05.2025, 07:44
Powered By IP.Board © 2025  IPS, Inc.
Licensed to: Rokop Security
Impressum