Hallo zusammen,
nach langer Zeit melde ich mich mal wieder hier. Ich hoffe, es geht allen gut?
Ich habe auf einem USB-Stick eine versteckte Datei erhalten, die mir doch sehr verdächtig vorkommt. Die Jotti-Resultate seht ihr hier:
http://virusscan.jotti.org/de/scanresult/21539e059628a3b01560913031fd4485411facdc
Ich habe die Datei an Kaspersky gesendet vor ca. einem Monat mit der Bitte um Prüfung. Der Eingang wurde mir bestätigt, das wars dann auch. Auch auf Nachfrage keine Reaktion. So kann man einen Kunden auch ratlos zurücklassen.
Gibts hier noch die Experten, die 'ne Datei auseinanderfrickeln und analysieren können, oder die ggf. bessere Connections zu den AV-Firmen als ich habe?
Hm, wie sieht es bei virustotal.com aus ?
...mal sehen was andere noch dzu sagen können...
Catweazle
Ich habe als Gegenprüfung mal die eigene rundll32.exe bei Jotti scannen lassen.
Ergebnis:
0 von 20 Scannern schlagen an
http://virusscan.jotti.org/de/scanresult/8fc36de62d6fe795331e497827f4e51543057638/4771115bc141af22bc636085e544690214e11f60
Virustotal kommt zum gleichen Ergebnis
https://www.virustotal.com/file/d684a4857d1ab3d9208abcd59707429ccb10399446cb0b87003cd6c8aea0cc17/analysis/1342416635/
Aufgrund dieses Unterschieds möchte ich behaupten, das du mit deiner Datei einen Schädling hast.
Zudem unterscheidet sich auch die Grösse der Datei.
Kannst aber natürlich zur Sicherheit weitere Antworten abwarten.
Lad sie mal wo passwortgeschützt hoch und gib mir den Link + PW via PM.
Würde sie mir gerne mal ansehen ...
Cheers,
Scrapie
Ich hätte die Datei auch gerne.
Domino
Mich würde interessieren, was daraus geworden ist.
Ich tippe auf eine beschädigte Datei.
Keine digi. Signatur wie MS-Files, anderer Compiller (in chinesisch !) benutzt als MS-Files, Original-Name "USERINIT.EXE"???, andere API-Aufrufe verwendet als wie in der original RUNDLL32.exe, enthält String welcher u.A. mit "W32/FunLove.gen!" in Verbindung steht + ein paar andere Verweise und Spuren, die irgendwie nicht astrein sind.
Allein nicht lauffähig - beschädigt oder abhängig von anderen Dateien?
Cheers,
Scrapie
So wie ich es vermutet habe ...
Danke für die Analysen. Ich fasse zusammen:
- die Datei ist nicht kosher (war eh klar)
- alles weitere (Ursprung, Verbreitung, Schadpotential) nicht zu klären.
Mich persönlich würde interessieren, ob die Datei auf dem noch fabrikneuen Stick war (möglich, unwahrscheinlich) oder von einem Kollegen unbewusst übertragen wurde (ebenso möglich). Lässt sich aber so wohl nicht klären.
Ich bleibe wachsam! Danke nochmal.
Kommt der Stick rein zufällig aus China?
Vermutung an,
jetzt wird schon Malware beim verkauf von USB Sticks, gleich mit ausgeliefert,
vermutung aus.
Catweazle
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)