Malwareupload.com - Dateianalyse, Neues Projekt von www.hijackthis.de |
Willkommen, Gast ( Anmelden | Registrierung )
Malwareupload.com - Dateianalyse, Neues Projekt von www.hijackthis.de |
27.03.2005, 23:52
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Wir bieten Internet-Usern die Möglichkeit verdächtige und infizierte Dateien auf www.malwareupload.com hochzuladen und von uns auf Malwaresymptome überprüfen zu lassen.
Der Uploader hat die Möglichkeit die upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen. Diese Infos werden ihn selbstverständlich auch per Mail zugeschickt. Alle eindeutig infizierten Dateien gehen derzeit über 40 IT-Sicherheitsfirmen zu. Der kostenlose Service ist zunächst in Deutsch und Englisch verfügbar. Ideen, Anregungen und Kritik nehmen wir gerne auf. http://www.malwareupload.com/ Weitere Erklärung und Infos http://www.trojaner-board.de/showthread.ph...ristian+malware Ich habe das noch nicht ausprobiert. Wenn man etwa unter http://virusscan.jotti.org/de/ eine verdächtige Datei identifiziert hat kann man diese an www.malwareupload.com zur weiteren Analyse schicken. Hinterher können die AV-Hersteller die noch keine Signatur haben eine Signatur erstellen. Sicher keine schleche Sache. Der Beitrag wurde von Internetfan1971 bearbeitet: 27.03.2005, 23:54 -------------------- Gruß
Internetfan1971 |
|
|
Gast_*Christian*_* |
28.03.2005, 02:02
Beitrag
#2
|
Gäste |
QUOTE(Internetfan1971 @ 28.03.2005, 00:51) Wenn man etwa unter http://virusscan.jotti.org/de/ eine verdächtige Datei identifiziert hat kann man diese an www.malwareupload.com zur weiteren Analyse schicken. Hinterher können die AV-Hersteller die noch keine Signatur haben eine Signatur erstellen. Man muss die Datei nicht vorher bei Jotti hochladen. |
|
|
28.03.2005, 07:41
Beitrag
#3
|
|
Virenreporter Gruppe: Freunde Beiträge: 4.077 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 6 Betriebssystem: Win XP Virenscanner: KAV |
QUOTE(*Christian* @ 28.03.2005, 03:01) Man muss die Datei nicht vorher bei Jotti hochladen. [right][snapback]86088[/snapback][/right] Na ja, die schnellere Antwort erhält man doch in der Regel bei jotti.org JFK -------------------- Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
|
|
|
28.03.2005, 08:38
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 |
QUOTE(malwareupload.com) Alle eindeutig infizierten Dateien gehen derzeit über 40 IT-Sicherheitsfirmen zu. Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht? Und ausserdem warum muss man sich da anmelden? Ich schick meine Klamotten immer an virus@rokop-security.de wo sie dann netterweise auch an alle gehen, und das ohne das ich mich registrieren muss. Ich schick sie auch sehr oft alleine an die Hersteller. Nur wenn ich mehr erreichen will als ich kenn, dann über Rokop. - björn |
|
|
28.03.2005, 08:56
Beitrag
#5
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Hallo
QUOTE Man muss die Datei nicht vorher bei Jotti hochladen. dry.gif Natürlich nicht! War doch nur ein Beispiel, eine hier oft genutzte Möglichkeit eine verdächtige Datei von mehreren Scannern gleichzeitig gegenprüfen zu lassen QUOTE Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht? Wie kommst Du zu dieser Interpretation? Du kannst doch jede verdächtige Datei dort hinschicken zur Analyse. Etwa durch Heuristik als potentiell erkannte Malware. Ich nehme jetzt mal an das die eigene Experten haben. Und wenn es neue Malware ist bekommen die gleich über 40 AV-Hersteller! QUOTE Und ausserdem warum muss man sich da anmelden? Um über die Ergebnisse persönlich informiert zu werden. Die E-Mail-Adresse dort zu hinterlassen wird nicht jedem gefallen. Aber wenn Du Malware nach Rokop schickst hinterläßt Du die dann nicht? Der Beitrag wurde von Internetfan1971 bearbeitet: 28.03.2005, 08:58 -------------------- Gruß
Internetfan1971 |
|
|
28.03.2005, 09:25
Beitrag
#6
|
|
Gehört zum Inventar Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 |
QUOTE(Internetfan1971 @ 28.03.2005, 09:55) Wie kommst Du zu dieser Interpretation? Du kannst doch jede verdächtige Datei dort hinschicken zur Analyse. Etwa durch Heuristik als potentiell erkannte Malware. [right][snapback]86098[/snapback][/right] Stimmt, aber da steht "eindeutig infizierte". Für mich heißt das "wir schicken die Dateien nur weiter, wenn wir uns sicher sind." Das lese ich aus dem Satz raus. QUOTE(Internetfan1971 @ 28.03.2005, 09:55) Um über die Ergebnisse persönlich informiert zu werden. Die E-Mail-Adresse dort zu hinterlassen wird nicht jedem gefallen. Aber wenn Du Malware nach Rokop schickst hinterläßt Du die dann nicht? [right][snapback]86098[/snapback][/right] Mir ist meine E-Mail auch egal, bei Rokop weiß ich aber das die damit vernünftig umgehen. Auf malwareupload.com ist nur ein Impressum. Garnichts was mit deinen Daten passiert. Auch wenn ich davon ausgehen das diese nur zur Verwaltung der Infos benutzt werden, fände ich eine Information in der Hinsicht nicht verkehrt. Die E-Mail Adresse muss man dort aber hinterlassen. Anders kann man sich dort nicht anmelden. (Auf malwareupload.com) - björn |
|
|
28.03.2005, 10:08
Beitrag
#7
|
|
AV-Tester Gruppe: Virenexperten Beiträge: 1.544 Mitglied seit: 05.06.2003 Wohnort: Innsbruck Mitglieds-Nr.: 99 Betriebssystem: Windows 10 Virenscanner: --- Firewall: --- |
Wenn man bei Jotti etwas uploadet bekommen es die Hersteller auch sofort. Bei Jotti bekomme ich auch die Malware zugeschickt, bei malwareupload bis jetzt noch nicht. Manche Hersteller sind von solchen Diensten nicht gerade zufrieden, da dadurch die prioritäten durcheinander kommen und es so für die User zu längeren Wartezeiten kommt. Wenn jemand eine verdächtige Datei hat und eine schnelle Analyse braucht, dann kann er die bei Jotti oder VirusTotal bekommen und bei dringenden Verdacht ist es am besten die Datei direkt an die Hersteller zu schicken, ohne Mittelmänner. Bei malwareupload stelle ich mir das so vor, dass sie einfach nur scannen ob irgendein AV was erkennt, die Datei selbst kurz ansehen (eine gute Analyse können die dort nicht machen da ihnen die Ressourcen, Kenntnisse und nötigen Programme dazu fehlen), die Datei dann an 40 Hersteller schicken und falls sie eine Antwort bekommen dann diese an dem User in einer Mail schreiben. Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten (ich glaube christian sagte sogar im trojanerforum dass diese idee entstand weil sie sonst nur schwer an malware kamen). Ist aber nur meine Meinung (kann richtig liegen oder auch nicht), also nicht allzu persönlich nehmen .
-------------------- AV Comparatives Weblog
NOT speaking on behalf of AV-Comparatives in public forums. Just personal opinions. |
|
|
28.03.2005, 10:35
Beitrag
#8
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
QUOTE Wenn man bei Jotti etwas uploadet bekommen es die Hersteller auch sofort. Somit kann man sich malwareupload.com wohl eher sparen... -------------------- Gruß
Internetfan1971 |
|
|
28.03.2005, 11:26
Beitrag
#9
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.694 Mitglied seit: 15.04.2003 Wohnort: Hamburg Mitglieds-Nr.: 13 Betriebssystem: win2k, XP, Vista Virenscanner: keinen Firewall: keine |
QUOTE(IBK @ 28.03.2005, 11:07) Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten (ich glaube christian sagte sogar im trojanerforum dass diese idee entstand weil sie sonst nur schwer an malware kamen). Ist aber nur meine Meinung (kann richtig liegen oder auch nicht), also nicht allzu persönlich nehmen . [right][snapback]86109[/snapback][/right] Ich habe aus eigener Erfahrung die gleiche Einschätzung. QUOTE Somit kann man sich malwareupload.com wohl eher sparen... Würde ich ebenfalls so sehen. -------------------- Lust auf Telefonsex? Unbeschwert nur hier. Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
|
28.03.2005, 11:55
Beitrag
#10
|
|
Kennt sich hier aus Gruppe: Virenexperten Beiträge: 176 Mitglied seit: 30.11.2003 Wohnort: Jenseits von Eden Mitglieds-Nr.: 245 Betriebssystem: :) Vista Firewall: Gehirn Version-06.01.1971 |
QUOTE Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten Darum haben mache Mitarbeiter von "Malwareupload" den Beinamen Malwaretroll. Fakt ist einfach, das Malware aller Art auf diese Weise in Hände von Leuten gelangt, von denen man nicht weis, wie gut Sie sich auskennen. Auch wenn die MalwareSamples Serverseitig gelöscht werden, werden wohl manche privaten MalwareDatenbanken etwas ausgebaut (der Vorteil dabei ist natürlich, das einige PM's wie .."kannst du mir mal " .....aufhöhren) mehr sag ich einfach nicht dazu gruss Frank -------------------- Programmieren ist ein ständiger Wettkampf zwischen Programmieren, die versuchen, immer neuere und idiotensicherere Programme zu schreiben und dem Universum, das immer größere und dümmere Idioten erzeugt. Bisher hat immer das Universum gewonnen!
|
|
|
28.03.2005, 11:57
Beitrag
#11
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Obwohl ich die Dienste von Malware.com und auch unseren an sich nicht schlecht finde, ist seit es die Dienste von Jotti und Virustotal gibt, immer die erste Wahl diese Dinge dort zu pruefen. Es gibt eine direkte Antwort und im Fall eines Fundes kann man sich auf der Seite der AV-Hersteller schlau machen.
Anders sehe ich es, wenn es um Dateien geht, die man beim beantworten eines Hijackthis logs sieht. Besonders bei Downloadern. Inzwischen ist es bei einigen neuen Varianten unmoglich wirklich zu helfen, wenn man nicht die Moeglichkeit hat, die infection nachzustellen. BTW Windows Exedateien pruefen: Dafuer ist die Norman "Online-Sandbox" genial! http://sandbox.norman.no/live_4.html -------------------- MfG Ralf
|
|
|
28.03.2005, 13:12
Beitrag
#12
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Ein wenig OT, kann ich mir jetzt aber nicht verkneifen...
Gerade bei jotti online scan (nicht von mir) Zuletzt gefundene Malware war BackDoor.SubSeven.215 in Undetectable.exe, gefunden von: Scanner Name der Malware Dauer AntiVir BDS/Sub7.215.Srv 0.39 Sekunden Avast X 3.05 Sekunden AVG Antivirus BackDoor.Delf.17.X 0.95 Sekunden BitDefender X 0.54 Sekunden ClamAV Trojan.SubSeven.215-srv 0.61 Sekunden Dr.Web BackDoor.SubSeven.215 0.92 Sekunden F-Prot Antivirus X 0.09 Sekunden Fortinet X 0.49 Sekunden Kaspersky Anti-Virus X 1.02 Sekunden mks_vir X 0.25 Sekunden NOD32 X 0.54 Sekunden Norman Virus Control X 0.48 Sekunden SubSeven lebt immer noch?! Dachte eigentlich der wäre ausgestorben... Und jetzt schaut euch mal von wem der gefunden wird und von wem nicht... KAV, BitDefender, Nod32 Fehlanzeige! AntiVir und AVG Antivirus kennen den aber... -------------------- Gruß
Internetfan1971 |
|
|
Gast_*Christian*_* |
28.03.2005, 13:42
Beitrag
#13
|
Gäste |
QUOTE(JFK @ 28.03.2005, 08:40) ... die schnellere Antwort erhält man doch in der Regel bei jotti.org Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware) QUOTE(Lucky @ 28.03.2005, 09:37) Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht? Natürlich bekommen alle Hersteller das Sample, auch wenn es erst von uns als Malware identifiziert wurde. QUOTE(Lucky @ 28.03.2005, 09:37) Und ausserdem warum muss man sich da anmelden? Wie sollten wir sonst den Uploader über das Ergebnis informieren? QUOTE(Lucky @ 28.03.2005, 10:24) Garnichts was mit deinen Daten passiert. Auch wenn ich davon ausgehen das diese nur zur Verwaltung der Infos benutzt werden, fände ich eine Information in der Hinsicht nicht verkehrt. Wir hatten einen Satz drin, dass die Dateien nur für vertrauenswürdige Personen zugänglich sind. Wir haben jedoch diesen Satz durch den ersetzt: Bei Dateien die Straftaten darstellen, halten wir uns die Option offen, diese den Strafverfolgungsbehörden zusammen mit sonstigen damit zusammenhängenden Daten weiterzugeben. @IBK Die Leute bekommen ihre Antwort bevor die Files an die AV-Hersteller gehen. Bis jetzt wurde auch auf jeden Upload geantwortet. Natürlich kann man die Files auch direkt an die Hersteller senden, aber welcher User hat schon Submit-Adressen von über 40 Vendors. Außerdem würde eine Antwort der AV-Hersteller wesentlich länger dauern. QUOTE(Internetfan1971 @ 28.03.2005, 11:34) Somit kann man sich malwareupload.com wohl eher sparen... [right][snapback]86111[/snapback][/right] Naja, erst schaut sich ja Jotti diese Files an - dann bekommen sie die Hersteller. |
|
|
Gast_*Christian*_* |
28.03.2005, 13:47
Beitrag
#14
|
Gäste |
QUOTE(Frank_Henrich @ 28.03.2005, 12:54) (der Vorteil dabei ist natürlich, das einige PM's wie .."kannst du mir mal " .....aufhöhren) Sehr witzig ... manche schicken halt, manche nicht - den Leuten denen es nicht passt, brauchen sie nicht registrieren. |
|
|
28.03.2005, 13:52
Beitrag
#15
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Hi Christian,
QUOTE Natürlich bekommen alle Hersteller das Sample, auch wenn es erst von uns als Malware identifiziert wurde. Ich stehe so einem System nicht so kritisch gegenueber, wie einige andere, aber ich muss da mal eben nachhaken. Was ist, wenn ihr etwas ueberseht? Sprich irgendwas Malware ist, aber ihr es nicht merkt. Bei einer Exe ist das unter VM vieleicht schnell auszumachen, bei einer DLL schon shwerer und bei einer "Treibermalware" wohl noch schlechter. Ihr schickt also Dateien, deren Herkunft und Zusammenhang ihr nicht kennt und ihr fuer sauber haltet nicht weiter? -------------------- MfG Ralf
|
|
|
Gast_*Christian*_* |
28.03.2005, 13:58
Beitrag
#16
|
Gäste |
QUOTE(raman @ 28.03.2005, 14:51) Ihr schickt also Dateien, deren Herkunft und Zusammenhang ihr nicht kennt und ihr fuer sauber haltet nicht weiter? Nein, ich nicht. |
|
|
28.03.2005, 14:02
Beitrag
#17
|
|
AV-Tester Gruppe: Virenexperten Beiträge: 1.544 Mitglied seit: 05.06.2003 Wohnort: Innsbruck Mitglieds-Nr.: 99 Betriebssystem: Windows 10 Virenscanner: --- Firewall: --- |
QUOTE(*Christian* @ 28.03.2005, 14:41) Naja, erst schaut sich ja Jotti diese Files an - dann bekommen sie die Hersteller. Stimmt nicht. Bei Jotti können die Hersteller automatisch jeden File bekommen die sie wollen, auch die die von allen scannern als clean eingestuft wurden. Man muss nur bei den Einstellungen das angeben oder sonst auch direkt automatisch downloaden lassen wenn man die adresse kennt und man zugangsberechtigt ist. -------------------- AV Comparatives Weblog
NOT speaking on behalf of AV-Comparatives in public forums. Just personal opinions. |
|
|
28.03.2005, 14:06
Beitrag
#18
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Bei Jotti gibt es mehrere Moeglichkeiten. Entweder automatische Benachrichtigung/versenden von verpassten Samples, oder auch zugriff ueber FTP(?).Er ueberprueft Dateien wohl nicht selber, sondern schickt das was nicht erkannt wird an die Normansandbox und falls noetig an KAV.
....und nein, wir haben keinen Zugriff auf die Malware! -------------------- MfG Ralf
|
|
|
28.03.2005, 14:13
Beitrag
#19
|
|
AV-Tester Gruppe: Virenexperten Beiträge: 1.544 Mitglied seit: 05.06.2003 Wohnort: Innsbruck Mitglieds-Nr.: 99 Betriebssystem: Windows 10 Virenscanner: --- Firewall: --- |
Soviel ich weiß überprüft Jotti gar keine Malware. Und das mit Norman und Kav ist glaub ich auch nicht so. Es wird nur täglich übreprüft ob das was zuvor von niemanden erkannt wird inzwischen erkannt wird (weil man eben auch clean files bekommt).
-------------------- AV Comparatives Weblog
NOT speaking on behalf of AV-Comparatives in public forums. Just personal opinions. |
|
|
28.03.2005, 14:18
Beitrag
#20
|
|
Gehört zum Inventar Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 |
QUOTE(*Christian* @ 28.03.2005, 14:41) Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware) [right][snapback]86151[/snapback][/right] Was ist an der Aussage "Undetected Malware" genauer? - björn |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 23.05.2024, 03:00 |