Submit-Adressen-Thread: Anmerkungen, und Änderungsvorschläge und Wünsche Einstellungen

[raman]

Bemerkungen und andere Wüensche zum Submit-Adressen-Thread bitte hier posten...

[Gast_blueX_*]

Es wäre super, wenn jemand die beiden Textfiles machen könnte.

[Voyager]

Anmerkung zu Symantec AV Submit , mittlerweile bekomme ich Developer Antwort am selben Tag bei Einreichung eines File Sample , könnte möglicherweise damit zusammen hängen das mein Name oder Email auf einer Liste der Erstbearbeitungen steht , anders kann ich mir das momentan nach mehrfacher Beschwerde nicht erklären.

Der Beitrag wurde von bond7 bearbeitet: 25.10.2008, 13:15

[Gast_blueX_*]

Anmerkung zu Symantec AV Submit , mittlerweile bekomme ich Developer Antwort am selben Tag bei Einreichung eines File Sample , könnte möglicherweise damit zusammen hängen das mein Name oder Email auf einer Liste der Erstbearbeitungen steht , anders kann ich mir das momentan nach mehrfacher Beschwerde nicht erklären.

Ich bekomme keine Delays.

[citro]

Zu Microsoft:

mfcs at submit.microsoft.com

dort bekomme ich zumindest Rückantwort


Zu Ikarus:

probe at ikarus.at

diese scheint aktuell zu sein

[Gast_blueX_*]

Die in den Thread genannte Ikarus-Adresse ist auch aktuell.

[raman]

Ich habe eine "eigene" Submitadresse bei Microsoft, bekomme dort aber nie Antwort, aber wenn das hilft, das Malwarer schneller eingebaut wird, ist es mir auch egal.......

[Gast_blueX_*]

kurz-pc hat mich auf diese beiden Submit-Adressen hingewiesen:

http://www.pctools.com/de/mrc/submit/
http://www.threatfire.com/de/submitfile/default.aspx


Diese sollte man in die Übersicht mitaufnehmen.

[Gast_kurz-pc_*]

Hier noch einen von sophos.
https://secure.sophos.com/support/samples/

[Gast_blueX_*]

Update:
Finjan, Zonelabs und MKS flogen raus, da die Mails unzustellbar.

Bei Comodo änderte sich die Submissionadresse.

[Gast_blueX_*]

Diese Art Sandbox sollte auch mitaufgenommen werden -> http://camas.comodo.com

[Gast_tpro_*]

AVG: virus(at)grisoft.cz

AVG: virus(at)avg.com

[Gast_blueX_*]

AVG: virus(at)avg.com

Die andere Adresse ist genauso gut. :-)

[Gast_kurz-pc_*]

Hab gerade das gefunden ist das neu?

http://support.kaspersky.ru/virlab/helpdesk.html?LANG=de

Der Beitrag wurde von kurz-pc bearbeitet: 07.02.2009, 16:58

[Gast_blueX_*]

Das habe ich noch nicht gesehen. Werde mal im KAV-Forum nachfragen.

Aber es sollte schon einmal in den Thread aufgenommen werden. :-)

[markusg]

http://www.arcabit.com/send.html
läuft nicht mehr...

[Voyager]

Es gibt eine neue Submitadresse die Symantec zuzuordnen ist .

There is an new Symantec page for malware submission
http://community.norton.com/norton/board/m...thread.id=36624

http://www.threatexpert.com/submit.aspx
https://submit.symantec.com/retail <- diese kennen wir bereits.

[StephanK]

Hallo,

Bitte nicht die E-Mail Adresse im Thread nutzen sondern ausschliesslich unser SAS: https://analysis.f-secure.com

[raman]

Hallo Stefan,

das "nervige" an diese "nichtmail" Einsendungen ist, das wenn man es fuer jede Firma so machen wuerde, dauert es sehr lange, bis man es an alle verschickt hat.

GIbt es als Alternative eine Emailadresse, die direkt an euer SAS weiterleitet? Norman z.B bietet so eine Moeglichkeit.

[StephanK]

Hallo raman,

Wir pushen das SAS aus mehreren Gründen:
1. Qualität der übermittelten Informationen ist höher
2. Du kannst in Echtzeit den Status deiner Einsendung beobachten
3. Du bekommst direkt beim Upload bereits Informationen über den Stand der Erkennung

E-Mails landen natürlich weiterhin im System nur ist das SAS die deutlich bessere Wahl

[Gast_kurz-pc_*]

@StephanK

Mir würden in SAS schon Samples einfach gelöscht.
Die wurden zwei Tage lang grau angezeigt und dann nach 3 Tagen waren die nicht mehr da.

[StephanK]

kurz-pc: Bitte einmal kontaktieren.

[citro]

Es gibt eine neue Submitadresse die Symantec zuzuordnen ist .

There is an new Symantec page for malware submission
http://community.norton.com/norton/board/m...thread.id=36624

http://www.threatexpert.com/submit.aspx
https://submit.symantec.com/retail <- diese kennen wir bereits.

dann verstehe ich dieses Ergebnis einer schon längst bei threatexpert eingesendeter Datei nicht.
threatexpert ist doch von PCTools - oder ?

http://www.virustotal.com/de/analisis/1bb3...99b51fbd8472624

[Schulte]

Passt vielleicht nicht ganz zum Thema, aber:

Von Kaspersky gibt es eine neue Seite zur Kindersicherung.
Dort können Seiten zum Blockieren/Freigeben gemeldet werden.

http://parental.kaspersky.fr/index.php?lang=de

[Gast_blueX_*]

Ob das wirklich in den "How-to-submit-malware"-Thread gehört ....

[Schulte]

Ob das wirklich in den "How-to-submit-malware"-Thread gehört ....

Danke für den Hinweis, fängt ja aber auch so an:

Passt vielleicht nicht ganz zum Thema, ...

Aber eine andere Frage: Wie sieht es mit Submit-Adressen für infektiöse Websites aus? Ist ja in der Regel eine andere Stelle zuständig. Oder hab ich was übersehen?

[Gast_blueX_*]

Sie wäre ja nur infektiös, wenn ein schädlicher Code ausgeführt wird. Von daher sollte man das Script oder die HTML-Datei einsenden und die Website, von der es gefunden wurde, benennen.

[Schulte]

Sorry, daß ich das nicht gleich gesagt habe:

Mir geht es um Seiten, bei denen die Heuristik (und nur die) anschlägt. Das entsprechende Script zu finden ist wohl nicht jedermans Sache.

[Gast_blueX_*]

In den Submit-Formularen bieten einige AV's extra ein Formularfeld an, um die URL einzutragen.

Ansonsten würde ich (wenn das Script nicht verfügbar ist) die AV's mit einer E-Mail auf die Website hinweisen. Ich würde aber explizit erwähnen, dass beim Aufruf der Website ein schädlicher Code ausgeführt wird und dass ggf. die Heuristik den Code erkennt. Die prüfen dann meist selbst.

[Gast_blueX_*]

Update:

- neuer Link für ArcaVir-Upload-Formular
- E-Mailadresse von CP-Secure hinzugefügt

Die Textfiles wurden entsprechend geändert. Danke an raman, der die Änderungen vorgenommen hat.

[Gast_blueX_*]

Funktioniert bei euch die Upload-Seite von Trendmicro?
http://subwiz.trendmicro.com/SubWiz/Default.asp

Angezeigt wird die Website, aber hochgeladen wird nix.

Der Beitrag wurde von blueX bearbeitet: 21.07.2009, 17:27

[Gast_kurz-pc_*]

Funktioniert bei euch die Upload-Seite von Trendmicro?
http://subwiz.trendmicro.com/SubWiz/Default.asp

Angezeigt wird die Website, aber hochgeladen wird nix.

Bei mir geht immer nur mit IE.

[Gast_blueX_*]

Alles klar - werde mal den Webmaster darauf hinweisen, dass es nur mit dem IE klappt.

[citro]

Bei mir geht immer nur mit IE.

Mit Opera habe ich dort schon einiges hochgeladen

[Gast_blueX_*]

Neue Website für Norman:


http://www.norman.com/security_center/secu...t_file/54583/de

[Gast_kurz-pc_*]

Ist das neu? Steht zumindest noch nicht in der Liste.

http://uploads.malwarebytes.org/

[raman]

Danke, ich habs hinzugefuegt!

[Gast_blueX_*]

Ist das ein seriöser Vendor?

[raman]

Ja! Was stoert dich?

[Kenshiro]

Ist das ein seriöser Vendor?

Ja ist ein seriöser Vendor. Es gibt die Free Version und die kostenpfl. Version mit Guard. Habe mir eine Lebensl. Lizenz gekauft. Hat alles gut geklappt

[Heike]

der eigentliche Topic ist ja schon ein Jahr alt, sind die Adressen noch aktuell?
Ich stelle die Frage deshalb, weil das Posting ja nie editiert wurde.

[Gast_blueX_*]

Alle Adressen und Links sind aktuell und werden bei Bedarf aktuallisiert.
Vielleicht sollte raman noch unten den Stand mithinschreiben.

Was ich aber nicht glauben kann, dass du ein Sample den AV's zur Verfügung stellen möchtest.

[raman]

Ich koennte beim naechsten anpassen ein kleines Whatsnew anhaengen...

[Heike]

Vielleicht sollte raman noch unten den Stand mithinschreiben.

das wäre eine gute Sache.

Was ich aber nicht glauben kann, dass du ein Sample den AV's zur Verfügung stellen möchtest.

das habe ich gelegentlich sogar schon mal gemacht, ich habe auch schon Abuse-Mails zu no-ip geschickt. Der letzte war jemand, der mich mit SE ownen wollte, naja, dumm gelaufen.

[Voyager]

@Heike

Wie muss man sich das jetzt genau vorstellen mit dem ownen bei einer Abuse Mail ?!

[Heike]

naja, jemand will mir was unterjubeln, File starten (natürlich auf dem Test-PC), DNS auslesen, Abuse-Mail zum DNS-Anbieter schreiben, fertig. guck hier, sowas haben andere DNS-Anbieter auch, jedoch nicht alle.

[Gast_blueX_*]

das wäre eine gute Sache.


das habe ich gelegentlich sogar schon mal gemacht ...

Das finde ich sehr gut.

[citro]

Für Bitdefender habe ich hier ein Submit-Formular entdeckt.

http://www.malwarecity.com/site/Main/uploadMalware


edit: funktioniert nur mit ID ?

Der Beitrag wurde von citro bearbeitet: 13.10.2009, 11:09

[Rios]

CA Antivirus:
http://www.ca.com/us/securityadvisor/submitmalware.aspx

[Gast_blueX_*]

Der Link für CA ist doch schon vorhanden.

[Gast_blueX_*]

Für Bitdefender habe ich hier ein Submit-Formular entdeckt.

http://www.malwarecity.com/site/Main/uploadMalware


edit: funktioniert nur mit ID ?

Ja offenbar schon.
Es wäre gut, wenn raman das in den Thread mitaufnehmen würde, dass hier eine ID (vermutlich eine Support-ID benötigt wird?).

[citro]

Prevx

report(@)prevxresearch.com

[Julian]

Comodo: http://internetsecurity.comodo.com/submit.php

[citro]

http://www.fileresearchcenter.com/submitfile.html

müsste zu Superantispyware gehören

[Kenshiro]

Richtig citro gehört zu SAS

[Gast_blueX_*]

Schade, raman geht nicht immer auf die zahlreichen Wünsche ein.

[citro]

Mehrfach versucht, diese Submitadresse von PCTools empfängt nichts mehr

http://www.pctools.com/de/mrc/submit/

Mailer-Daemon:

Hi. This is the qmail-send program at smarthost2.pctools.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

[Gast_blueX_*]

Hast du den Support mal angeschrieben?
Sollte es längere Zeit nicht mehr funktionieren, werde ich den Link aus dem angepinnten Thread herausnehmen.

[citro]

Habe ich noch nicht, der Daemom-Mailer meldet sich erst nach ein paar Tagen - versuchs auch mal.

Gibt es eine Submit e-mailadresse ?

[Gast_blueX_*]

Ich werde es mal ausprobieren. Eine E-Mail-Adresse ist mir leider nicht bekannt.

[Gast_blueX_*]

Aktuell bekomme ich diese Delays:

<virus@centralcommand.com>: host
centralcommand.com.s9b2.psmtp.com said: 550 No such user.


<virus_help@cpsecure.com>: host aspmx.l.google.com said:
The email account that you tried to reach does not exist.

Was hat das mit Centralcommand zu sagen?

[Gast_blueX_*]

Die Mailadresse von CP-Secure funktioniert nicht mehr.
Die Mailadresse von Vexira hat sich geändert. Die neue Mailadresse lautet: virus_submission(at)centralcommand.com.
Die Textfiles wurden angepasst und können hier heruntergeladen werden: http://www.rokop-security.de/index.php?showtopic=17635

[xri12]

Bei der Email von Prevx bekomme ich eine Mail Delivery: report(at)prevxresearch.com

[Gast_blueX_*]

Mehrfach versucht, diese Submitadresse von PCTools empfängt nichts mehr

http://www.pctools.com/de/mrc/submit/

Mailer-Daemon:

Hi. This is the qmail-send program at smarthost2.pctools.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

Kann ich nicht bestätigen. Funktioniert!

[citro]

Kann ich nicht bestätigen. Funktioniert!

Warte noch ein paar Tage, die sind sehr langsam oder hast du eine Bestätigung bekommen ?

[Gast_blueX_*]

Warte noch ein paar Tage, die sind sehr langsam oder hast du eine Bestätigung bekommen ?

Habe gar nichts bekommen. Weder Delay noch Bestätigung.

[citro]

Habe gar nichts bekommen. Weder Delay noch Bestätigung.

hmm. hast du mit oder ohne Paßwort die Datei eingesendet ?

Ich versuchs noch einmal

[Gast_blueX_*]

Mit Passwort. Sollte man immer so machen.

[Gast_blueX_*]

Bei der Email von Prevx bekomme ich eine Mail Delivery: report(at)prevxresearch.com

Funktioniert hier. Wie lautet das vollständige Delivery bzw. wann nach dem Versand erhälst du das Delivery?

[xri12]

Ich glaub ich hab den Fehler gefunden:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. The following addresses failed:

<report@prevxresearch.com>

SMTP error from remote server after transfer of mail text:
host aspmx.l.google.com[209.85.219.5]:
552-5.7.0 Our system detected an illegal attachment on your message. Please
552-5.7.0 visit http://mail.google.com/support/bin/answer.py?answer=6590 to
552 5.7.0 review our attachment guidelines. 5si71374585ewy.74

[Gast_blueX_*]

Heute habe ich auch dieses Delivery erhalten.

[Gast_blueX_*]

Ich habe die Adresse nun rausgenommen.
Die neuen Textfiles stehen zum Download bereit: http://www.rokop-security.de/index.php?showtopic=17635

[scu]

Habt ihr den Text auch gelesen?

Euer GoogleMail lässt den Anhang nicht zu. Der Versand (SMTP) klappt nicht.

Als Sicherheitsmaßnahme gegen potenzielle Viren erlaubt Google Mail kein Senden oder Empfangen ausführbarer Dateien (beispielsweise Dateien, die mit ".exe" enden), die gefährlichen ausführbaren Code enthalten können.

Google Mail akzeptiert diese Dateitypen auch nicht, wenn sie im ZIP-Format gesendet werden (.zip, .tar, .tgz, .taz, .z, .gz). Wenn dieser Nachrichtentyp an Ihr Google Mail-Konto gesendet wird, wird er automatisch an den Absender zurückgeschickt.

[xri12]

Habt ihr den Text auch gelesen?

Euer GoogleMail lässt den Anhang nicht zu. Der Versand (SMTP) klappt nicht.

Ich denke eher das PrevX ihre Domain mit Googlemail verbunden hat; ich hab nämlich nicht über Googlemail verschickt

[citro]

Eine Datei an Symantec gesendet (avsubmit@symantec.com), natürlich mit Passwort und der Mailer-Daemon wieder, wie so oft:

####################################################################
# THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE. #
####################################################################

Your message could not be delivered for 0 days, 4 hours, 0 minutes.
It will be retried until it is 2 days, 0 hours, 0 minutes old.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

<avsubmit@sarcscan.symantec.com>: 421 4.4.0 [internal] no MXs for this domain could be reached at this time

[markusg]

das senden an prevx klappt bei mir.
ja, von symantec bekomme ich auch ab und zu was zurück.

[Gast_blueX_*]

Bei Prevx kommt es scheinbar drauf an, welchen Anhang verschickt.
Ein Zip-Archiv mit Passwort wird scheinbar nicht entgegengenommen.

[citro]

Das Uploadformular von MBAM gibt es nicht mehr, geht nur noch über das Forum (?)

http://uploads.malwarebytes.org/

[Gast_blueX_*]

Das Uploadformular von MBAM gibt es nicht mehr, geht nur noch über das Forum (?)

http://uploads.malwarebytes.org/

Danke für den Hinweis. Ich hab's geändert.

[citro]

Norman Submit-Formular (nicht die Sandbox)

http://www.norman.com/support/sendmalware/de

[Gast_blueX_*]

Danke für den Hinweis!
Ich hab's aktualisiert.

[citro]

Kann ich nicht bestätigen. Funktioniert!

Hi. This is the qmail-send program at smarthost1.pctools.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

leider schon wieder oder immer noch

[markusg]

submit(at)samples.immunet.com

[Kessie]

hab mir die Komma.txt gezogen und krieg nen Versandfehler:

This is the Postfix program at host fmmailgate01.web.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The Postfix program

<v3sos@ahnlab.com>: host mx01.ahnlab.com[210.121.169.51] said: 554 5.7.1
Service unavailable; Client host [217.72.192.221] blocked using
spamlist.or.kr; 'www.kisarbl.or.kr' (in reply to RCPT TO command)

<virus_submission@centralcommand.com>: host
centralcommand.com.s9a1.psmtp.com[74.125.148.10] said: 582 The file
attached violates our email policy (in reply to end of DATA command)



Reporting-MTA: dns; fmmailgate01.web.de
X-Postfix-Queue-ID: 19E3A165D36E9
X-Postfix-Sender: rfc822;xxxx@web.de
Arrival-Date: Sun, 8 Aug 2010 20:51:40 +0200 (CEST)

Final-Recipient: rfc822; v3sos@ahnlab.com
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host mx01.ahnlab.com[210.121.169.51] said: 554
5.7.1 Service unavailable; Client host [217.72.192.221] blocked using
spamlist.or.kr; 'www.kisarbl.or.kr' (in reply to RCPT TO command)

Final-Recipient: rfc822; virus_submission@centralcommand.com
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host
centralcommand.com.s9a1.psmtp.com[74.125.148.10] said: 582 The file
attached violates our email policy (in reply to end of DATA command)

[raman]

Wie es ausieht ist eine der web.de IP auf einer Spamliste gelandet und deshalb wird deine Mail geblockt und centralcommand.com mag den Anhang nicht. Was fuer einen Anhang hast du da denn angehaengt, exe Datei RAR/Zip Archiv o.ae. ?

[Kessie]

2 verdächtige Exe-Dateien , verpackt in ein passwortgeschützes Zip-Archiv ,geschützt mit "infected", wie man es mir beigebracht hat.

Der Beitrag wurde von Kessie bearbeitet: 09.08.2010, 08:31

[markusg]

das sieht aber nicht nach nem problem der adressen aus. anlab funktioniert auf jeden fall noch.

[Kessie]

Final-Recipient: rfc822; virus_submission@centralcommand.com
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host
centralcommand.com.s9a1.psmtp.com[74.125.148.10] said: 582 The file
attached violates our email policy (in reply to end of DATA command)

was könnte das denn noch sein? ich dachte passwortgeschütze archive nimmt man damit die datei nich automatisch gereinigt wird?

[Gast_blueX_*]

Ja, man die Samples sollte man auf jeden Fall in einem passwortgeschützten Archiv versenden.
Es gibt noch eine weitere Adresse: virus@centralcommand.com

Hast du die mal ausprobiert?

[Kessie]

ich hab mich mit den Leuten vom Livesupport unterhalten die zwar nix gewusst haben , mir aber deren FTP-Server-Adresse gegeben haben. Hab ihnen das Archiv hochgeladen und dem Livesupport den Dateinamen gegeben. Umständlich aber ging auch.

[Gast_blueX_*]

Funktioniert bei euch dieses Upload-Formular von Panda? http://pandatechnik.de/blog/send-suspicious-file/

Wenn ich was hochladen möchte, bringt er die Meldung "Leere Datei".

[citro]

Bei mir auch, man braucht wahrscheinlich eine Kundennummer.

[Gast_blueX_*]

Bislang nicht.

Werde es mal klären.

[Gast_blueX_*]

Hab eine Änderung vorgenommen: http://www.rokop-security.de/index.php?sho...t=0#entry294982
Die Adresse von Vexira hat sich geändert.

[Gast_blueX_*]

Die Mailadresse von Vexira wurde erneut geändert. Außerdem besteht nun eine Upload-Möglichkeit über FTP.
Die Mailadresse von VBA32 wurde auch geändert.

Die neuen Textfiles und alle Adressen stehen hier zur Verfügung: http://www.rokop-security.de/index.php?showtopic=17635

[Gast_blueX_*]

Weiß jemand, wie man verseuchte/infizierte Apps für Smartphones einsendet?




Der Beitrag wurde von blueX bearbeitet: 15.03.2011, 19:38

[citro]

Sandbox, wahrscheinlich von Panda

http://www.xandora.net/upload/

Ergebnisse dauern manchmal bis zu einem Tag.

[markusg]

@blueX

sehr späte antwort, abr ich denke wie alles andere auch, hab da zu mindest noch nie von unterschiedlichen adressen für die betriebssysteme gehört.

[Gast_blueX_*]

Die Mailadresse von eSafe wurde geändert. Die neue Mailadresse lautet: sample(at)safenet-inc.com.
Die Textfiles wurden entsprechend angepasst. Download unter http://www.rokop-security.de/index.php?showtopic=17635

[Gast_blueX_*]

Habe einige Aktualsierungen vorgenommen:

Upload-Formular für Norman, Lavasoft (Ad-Aware) und CA aktualisiert.
McAfee bietet keine Upload-Möglichkeit mehr an.

Die Adressen und Upload-Formulare gibt es hier: http://www.rokop-security.de/index.php?sho...t=0#entry252889