Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> Virus, kein Virus, was denn nun?
Yopie
Beitrag 15.07.2012, 20:56
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



Hallo zusammen,

nach langer Zeit melde ich mich mal wieder hier. Ich hoffe, es geht allen gut?

Ich habe auf einem USB-Stick eine versteckte Datei erhalten, die mir doch sehr verdächtig vorkommt. Die Jotti-Resultate seht ihr hier:
http://virusscan.jotti.org/de/scanresult/2...1fd4485411facdc

Ich habe die Datei an Kaspersky gesendet vor ca. einem Monat mit der Bitte um Prüfung. Der Eingang wurde mir bestätigt, das wars dann auch. Auch auf Nachfrage keine Reaktion. So kann man einen Kunden auch ratlos zurücklassen.

Gibts hier noch die Experten, die 'ne Datei auseinanderfrickeln und analysieren können, oder die ggf. bessere Connections zu den AV-Firmen als ich habe?


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 15.07.2012, 22:02
Beitrag #2



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Hm, wie sieht es bei virustotal.com aus ?

...mal sehen was andere noch dzu sagen können...

Catweazle



--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
andi2271
Beitrag 16.07.2012, 06:33
Beitrag #3



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 17
Mitglied seit: 09.07.2011
Mitglieds-Nr.: 9.044

Betriebssystem:
Vista Ultimate 64
Virenscanner:
Microsoft Essentials
Firewall:
Windows Firewall



Ich habe als Gegenprüfung mal die eigene rundll32.exe bei Jotti scannen lassen.
Ergebnis:
0 von 20 Scannern schlagen an
http://virusscan.jotti.org/de/scanresult/8...544690214e11f60

Virustotal kommt zum gleichen Ergebnis
https://www.virustotal.com/file/d684a4857d1...sis/1342416635/

Aufgrund dieses Unterschieds möchte ich behaupten, das du mit deiner Datei einen Schädling hast.
Zudem unterscheidet sich auch die Grösse der Datei.
Kannst aber natürlich zur Sicherheit weitere Antworten abwarten.

Der Beitrag wurde von andi2271 bearbeitet: 16.07.2012, 06:35
Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 16.07.2012, 07:06
Beitrag #4






Gäste






Lad sie mal wo passwortgeschützt hoch und gib mir den Link + PW via PM.
Würde sie mir gerne mal ansehen ...


Cheers,
Scrapie
Go to the top of the page
 
+Quote Post
Domino
Beitrag 16.07.2012, 07:22
Beitrag #5



Schauspiel-Gott
aka Kilauea
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 7.485
Mitglied seit: 20.04.2003
Wohnort: Göttingen
Mitglieds-Nr.: 46



Ich hätte die Datei auch gerne.



Domino




--------------------
Keep the spirit alive.....
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 16.07.2012, 19:00
Beitrag #6






Gäste






Mich würde interessieren, was daraus geworden ist.

Ich tippe auf eine beschädigte Datei. whistling.gif



Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 17.07.2012, 08:29
Beitrag #7






Gäste






Keine digi. Signatur wie MS-Files, anderer Compiller (in chinesisch !) benutzt als MS-Files, Original-Name "USERINIT.EXE"???, andere API-Aufrufe verwendet als wie in der original RUNDLL32.exe, enthält String welcher u.A. mit "W32/FunLove.gen!" in Verbindung steht + ein paar andere Verweise und Spuren, die irgendwie nicht astrein sind.

Allein nicht lauffähig - beschädigt oder abhängig von anderen Dateien?


Cheers,
Scrapie
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 17.07.2012, 17:31
Beitrag #8






Gäste






So wie ich es vermutet habe ...


Go to the top of the page
 
+Quote Post
Yopie
Beitrag 18.07.2012, 22:08
Beitrag #9


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



Danke für die Analysen. Ich fasse zusammen:
- die Datei ist nicht kosher (war eh klar)
- alles weitere (Ursprung, Verbreitung, Schadpotential) nicht zu klären.

Mich persönlich würde interessieren, ob die Datei auf dem noch fabrikneuen Stick war (möglich, unwahrscheinlich) oder von einem Kollegen unbewusst übertragen wurde (ebenso möglich). Lässt sich aber so wohl nicht klären.

Ich bleibe wachsam! Danke nochmal.


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
scu
Beitrag 19.07.2012, 11:57
Beitrag #10



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.191
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G DATA



Kommt der Stick rein zufällig aus China?
Go to the top of the page
 
+Quote Post
Gast_J4U_*
Beitrag 19.07.2012, 15:32
Beitrag #11






Gäste






ZITAT(Yopie @ 18.07.2012, 23:07) *
Mich persönlich würde interessieren, ob die Datei auf dem noch fabrikneuen Stick war (möglich, unwahrscheinlich) oder von einem Kollegen unbewusst übertragen wurde (ebenso möglich).
Wird wohl oder gewesen sein. So kleine, versteckte Dateien nisten sich gern mal auf einem Stick ein. Wenn dem so ist, dann dürfte aber der entsprechende Rechner infiziert gewesen oder noch infiziert sein.

J4U
Go to the top of the page
 
+Quote Post
Catweazle
Beitrag 19.07.2012, 18:15
Beitrag #12



Salmei, Dalmei, Adonei
*******

Gruppe: Mitglieder
Beiträge: 4.871
Mitglied seit: 28.05.2003
Mitglieds-Nr.: 95



Vermutung an,

jetzt wird schon Malware beim verkauf von USB Sticks, gleich mit ausgeliefert,

vermutung aus. stirnklatsch.gif

Catweazle


--------------------
Ich habe keine Homepage, wers nicht glaubt:

http://catweazle.hat-gar-keine-homepage.de/

Spend most of my time in a state of Dementa wondering where I am.
Go to the top of the page
 
+Quote Post
SLE
Beitrag 19.07.2012, 18:19
Beitrag #13



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Catweazle @ 19.07.2012, 19:14) *
Vermutung an,
jetzt wird schon Malware beim verkauf von USB Sticks, gleich mit ausgeliefert,


Und dann nichtmal lauffähig. Betrug. Den Stick würde ich zurückgeben wink.gif


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 16:07
Impressum