Druckversion des Themas

Geschrieben von: Yopie 15.07.2012, 20:56

Hallo zusammen,

nach langer Zeit melde ich mich mal wieder hier. Ich hoffe, es geht allen gut?

Ich habe auf einem USB-Stick eine versteckte Datei erhalten, die mir doch sehr verdächtig vorkommt. Die Jotti-Resultate seht ihr hier:
http://virusscan.jotti.org/de/scanresult/21539e059628a3b01560913031fd4485411facdc

Ich habe die Datei an Kaspersky gesendet vor ca. einem Monat mit der Bitte um Prüfung. Der Eingang wurde mir bestätigt, das wars dann auch. Auch auf Nachfrage keine Reaktion. So kann man einen Kunden auch ratlos zurücklassen.

Gibts hier noch die Experten, die 'ne Datei auseinanderfrickeln und analysieren können, oder die ggf. bessere Connections zu den AV-Firmen als ich habe?

Geschrieben von: Catweazle 15.07.2012, 22:02

Hm, wie sieht es bei virustotal.com aus ?

...mal sehen was andere noch dzu sagen können...

Catweazle

Geschrieben von: andi2271 16.07.2012, 06:33

Ich habe als Gegenprüfung mal die eigene rundll32.exe bei Jotti scannen lassen.
Ergebnis:
0 von 20 Scannern schlagen an
http://virusscan.jotti.org/de/scanresult/8fc36de62d6fe795331e497827f4e51543057638/4771115bc141af22bc636085e544690214e11f60

Virustotal kommt zum gleichen Ergebnis
https://www.virustotal.com/file/d684a4857d1ab3d9208abcd59707429ccb10399446cb0b87003cd6c8aea0cc17/analysis/1342416635/

Aufgrund dieses Unterschieds möchte ich behaupten, das du mit deiner Datei einen Schädling hast.
Zudem unterscheidet sich auch die Grösse der Datei.
Kannst aber natürlich zur Sicherheit weitere Antworten abwarten.

Geschrieben von: Scrapie 16.07.2012, 07:06

Lad sie mal wo passwortgeschützt hoch und gib mir den Link + PW via PM.
Würde sie mir gerne mal ansehen ...


Cheers,
Scrapie

Geschrieben von: Domino 16.07.2012, 07:22

Ich hätte die Datei auch gerne.



Domino

Geschrieben von: blueX 16.07.2012, 19:00

Mich würde interessieren, was daraus geworden ist.

Ich tippe auf eine beschädigte Datei.

Geschrieben von: Scrapie 17.07.2012, 08:29

Keine digi. Signatur wie MS-Files, anderer Compiller (in chinesisch !) benutzt als MS-Files, Original-Name "USERINIT.EXE"???, andere API-Aufrufe verwendet als wie in der original RUNDLL32.exe, enthält String welcher u.A. mit "W32/FunLove.gen!" in Verbindung steht + ein paar andere Verweise und Spuren, die irgendwie nicht astrein sind.

Allein nicht lauffähig - beschädigt oder abhängig von anderen Dateien?


Cheers,
Scrapie

Geschrieben von: blueX 17.07.2012, 17:31

So wie ich es vermutet habe ...

Geschrieben von: Yopie 18.07.2012, 22:08

Danke für die Analysen. Ich fasse zusammen:
- die Datei ist nicht kosher (war eh klar)
- alles weitere (Ursprung, Verbreitung, Schadpotential) nicht zu klären.

Mich persönlich würde interessieren, ob die Datei auf dem noch fabrikneuen Stick war (möglich, unwahrscheinlich) oder von einem Kollegen unbewusst übertragen wurde (ebenso möglich). Lässt sich aber so wohl nicht klären.

Ich bleibe wachsam! Danke nochmal.

Geschrieben von: scu 19.07.2012, 11:57

Kommt der Stick rein zufällig aus China?

Geschrieben von: J4U 19.07.2012, 15:32

Wird wohl oder gewesen sein. So kleine, versteckte Dateien nisten sich gern mal auf einem Stick ein. Wenn dem so ist, dann dürfte aber der entsprechende Rechner infiziert gewesen oder noch infiziert sein.

J4U

Geschrieben von: Catweazle 19.07.2012, 18:15

Vermutung an,

jetzt wird schon Malware beim verkauf von USB Sticks, gleich mit ausgeliefert,

vermutung aus.

Catweazle

Geschrieben von: SLE 19.07.2012, 18:19

Und dann nichtmal lauffähig. Betrug. Den Stick würde ich zurückgeben