Malwareupload.com - Dateianalyse, Neues Projekt von www.hijackthis.de Einstellungen

[Internetfan1971]

Wir bieten Internet-Usern die Möglichkeit verdächtige und infizierte Dateien auf www.malwareupload.com hochzuladen und von uns auf Malwaresymptome überprüfen zu lassen.

Der Uploader hat die Möglichkeit die upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen.

Diese Infos werden ihn selbstverständlich auch per Mail zugeschickt.

Alle eindeutig infizierten Dateien gehen derzeit über 40 IT-Sicherheitsfirmen zu.

Der kostenlose Service ist zunächst in Deutsch und Englisch verfügbar.

Ideen, Anregungen und Kritik nehmen wir gerne auf.

http://www.malwareupload.com/

Weitere Erklärung und Infos

http://www.trojaner-board.de/showthread.ph...ristian+malware

Ich habe das noch nicht ausprobiert. Wenn man etwa unter

http://virusscan.jotti.org/de/

eine verdächtige Datei identifiziert hat kann man diese an www.malwareupload.com zur weiteren Analyse schicken. Hinterher können die AV-Hersteller die noch keine Signatur haben eine Signatur erstellen.

Sicher keine schleche Sache.

Der Beitrag wurde von Internetfan1971 bearbeitet: 27.03.2005, 23:54

[Gast_*Christian*_*]

Wenn man etwa unter

http://virusscan.jotti.org/de/

eine verdächtige Datei identifiziert hat kann man diese an www.malwareupload.com zur weiteren Analyse schicken. Hinterher können die AV-Hersteller die noch keine Signatur haben eine Signatur erstellen.

Man muss die Datei nicht vorher bei Jotti hochladen.

[JFK]

Man muss die Datei nicht vorher bei Jotti hochladen. 
[right][snapback]86088[/snapback][/right]

Na ja,
die schnellere Antwort erhält man doch in der Regel bei jotti.org

JFK

[Lucky]

Alle eindeutig infizierten Dateien gehen derzeit über 40 IT-Sicherheitsfirmen zu.

Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht?

Und ausserdem warum muss man sich da anmelden? Ich schick meine Klamotten immer an virus@rokop-security.de wo sie dann netterweise auch an alle gehen, und das ohne das ich mich registrieren muss.

Ich schick sie auch sehr oft alleine an die Hersteller. Nur wenn ich mehr erreichen will als ich kenn, dann über Rokop.

- björn

[Internetfan1971]

Hallo

Man muss die Datei nicht vorher bei Jotti hochladen. dry.gif

Natürlich nicht! War doch nur ein Beispiel, eine hier oft genutzte Möglichkeit eine verdächtige Datei von mehreren Scannern gleichzeitig gegenprüfen zu lassen

Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht?

Wie kommst Du zu dieser Interpretation?

Du kannst doch jede verdächtige Datei dort hinschicken zur Analyse. Etwa durch Heuristik als potentiell erkannte Malware.

Ich nehme jetzt mal an das die eigene Experten haben. Und wenn es neue Malware ist bekommen die gleich über 40 AV-Hersteller!

Und ausserdem warum muss man sich da anmelden?

Um über die Ergebnisse persönlich informiert zu werden. Die E-Mail-Adresse dort zu hinterlassen wird nicht jedem gefallen.

Aber wenn Du Malware nach Rokop schickst hinterläßt Du die dann nicht?

Der Beitrag wurde von Internetfan1971 bearbeitet: 28.03.2005, 08:58

[Lucky]

Wie kommst Du zu dieser Interpretation? 

Du kannst doch jede verdächtige Datei dort hinschicken zur Analyse. Etwa durch Heuristik als potentiell erkannte Malware.
[right][snapback]86098[/snapback][/right]

Stimmt, aber da steht "eindeutig infizierte". Für mich heißt das "wir schicken die Dateien nur weiter, wenn wir uns sicher sind." Das lese ich aus dem Satz raus.

Um über die Ergebnisse persönlich informiert zu werden. Die E-Mail-Adresse dort zu hinterlassen wird nicht jedem gefallen.

Aber wenn Du Malware nach Rokop schickst hinterläßt Du die dann nicht? 
[right][snapback]86098[/snapback][/right]

Mir ist meine E-Mail auch egal, bei Rokop weiß ich aber das die damit vernünftig umgehen. Auf malwareupload.com ist nur ein Impressum. Garnichts was mit deinen Daten passiert. Auch wenn ich davon ausgehen das diese nur zur Verwaltung der Infos benutzt werden, fände ich eine Information in der Hinsicht nicht verkehrt.

Die E-Mail Adresse muss man dort aber hinterlassen. Anders kann man sich dort nicht anmelden. (Auf malwareupload.com)

- björn

[IBK]

Wenn man bei Jotti etwas uploadet bekommen es die Hersteller auch sofort. Bei Jotti bekomme ich auch die Malware zugeschickt, bei malwareupload bis jetzt noch nicht. Manche Hersteller sind von solchen Diensten nicht gerade zufrieden, da dadurch die prioritäten durcheinander kommen und es so für die User zu längeren Wartezeiten kommt. Wenn jemand eine verdächtige Datei hat und eine schnelle Analyse braucht, dann kann er die bei Jotti oder VirusTotal bekommen und bei dringenden Verdacht ist es am besten die Datei direkt an die Hersteller zu schicken, ohne Mittelmänner. Bei malwareupload stelle ich mir das so vor, dass sie einfach nur scannen ob irgendein AV was erkennt, die Datei selbst kurz ansehen (eine gute Analyse können die dort nicht machen da ihnen die Ressourcen, Kenntnisse und nötigen Programme dazu fehlen), die Datei dann an 40 Hersteller schicken und falls sie eine Antwort bekommen dann diese an dem User in einer Mail schreiben. Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten (ich glaube christian sagte sogar im trojanerforum dass diese idee entstand weil sie sonst nur schwer an malware kamen). Ist aber nur meine Meinung (kann richtig liegen oder auch nicht), also nicht allzu persönlich nehmen .

[Internetfan1971]

Wenn man bei Jotti etwas uploadet bekommen es die Hersteller auch sofort.

Somit kann man sich malwareupload.com wohl eher sparen...

[Heike]

Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten (ich glaube christian sagte sogar im trojanerforum dass diese idee entstand weil sie sonst nur schwer an malware kamen). Ist aber nur meine Meinung (kann richtig liegen oder auch nicht), also nicht allzu persönlich nehmen .
[right][snapback]86109[/snapback][/right]

Ich habe aus eigener Erfahrung die gleiche Einschätzung.

Somit kann man sich malwareupload.com wohl eher sparen...  

Würde ich ebenfalls so sehen.

[Frank_Henrich]

Sinn des ganzen ist meiner Meinung nach nur dass die Leute von Malwareupload an Samples gelangen, wie sie es schon in Vergangenheit zu tun versuchten

Darum haben mache Mitarbeiter von "Malwareupload" den Beinamen Malwaretroll.
Fakt ist einfach, das Malware aller Art auf diese Weise in Hände von Leuten gelangt, von denen man nicht weis, wie gut Sie sich auskennen. Auch wenn die MalwareSamples Serverseitig gelöscht werden, werden wohl manche privaten MalwareDatenbanken etwas ausgebaut


(der Vorteil dabei ist natürlich, das einige PM's wie .."kannst du mir mal " .....aufhöhren)

mehr sag ich einfach nicht dazu

gruss Frank

[raman]

Obwohl ich die Dienste von Malware.com und auch unseren an sich nicht schlecht finde, ist seit es die Dienste von Jotti und Virustotal gibt, immer die erste Wahl diese Dinge dort zu pruefen. Es gibt eine direkte Antwort und im Fall eines Fundes kann man sich auf der Seite der AV-Hersteller schlau machen.

Anders sehe ich es, wenn es um Dateien geht, die man beim beantworten eines Hijackthis logs sieht. Besonders bei Downloadern. Inzwischen ist es bei einigen neuen Varianten unmoglich wirklich zu helfen, wenn man nicht die Moeglichkeit hat, die infection nachzustellen.


BTW Windows Exedateien pruefen: Dafuer ist die Norman "Online-Sandbox" genial!
http://sandbox.norman.no/live_4.html

[Internetfan1971]

Ein wenig OT, kann ich mir jetzt aber nicht verkneifen...

Gerade bei jotti online scan (nicht von mir)

Zuletzt gefundene Malware war BackDoor.SubSeven.215 in Undetectable.exe, gefunden von:

Scanner Name der Malware Dauer
AntiVir BDS/Sub7.215.Srv 0.39 Sekunden
Avast X 3.05 Sekunden
AVG Antivirus BackDoor.Delf.17.X 0.95 Sekunden
BitDefender X 0.54 Sekunden
ClamAV Trojan.SubSeven.215-srv 0.61 Sekunden
Dr.Web BackDoor.SubSeven.215 0.92 Sekunden
F-Prot Antivirus X 0.09 Sekunden
Fortinet X 0.49 Sekunden
Kaspersky Anti-Virus X 1.02 Sekunden
mks_vir X 0.25 Sekunden
NOD32 X 0.54 Sekunden
Norman Virus Control X 0.48 Sekunden


SubSeven lebt immer noch?! Dachte eigentlich der wäre ausgestorben...

Und jetzt schaut euch mal von wem der gefunden wird und von wem nicht...

KAV, BitDefender, Nod32 Fehlanzeige!

AntiVir und AVG Antivirus kennen den aber...

[Gast_*Christian*_*]

... die schnellere Antwort erhält man doch in der Regel bei jotti.org 

Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware)

Also komplett neue Malware, die noch kein Scanner erkennt, bekommen die Hersteller also nicht?

Natürlich bekommen alle Hersteller das Sample, auch wenn es erst von uns als Malware identifiziert wurde.

Und ausserdem warum muss man sich da anmelden?

Wie sollten wir sonst den Uploader über das Ergebnis informieren?

Garnichts was mit deinen Daten passiert. Auch wenn ich davon ausgehen das diese nur zur Verwaltung der Infos benutzt werden, fände ich eine Information in der Hinsicht nicht verkehrt.

Wir hatten einen Satz drin, dass die Dateien nur für vertrauenswürdige Personen zugänglich sind.
Wir haben jedoch diesen Satz durch den ersetzt: Bei Dateien die Straftaten darstellen, halten wir uns die Option offen, diese den Strafverfolgungsbehörden zusammen mit sonstigen damit zusammenhängenden Daten weiterzugeben.


@IBK
Die Leute bekommen ihre Antwort bevor die Files an die AV-Hersteller gehen.
Bis jetzt wurde auch auf jeden Upload geantwortet.
Natürlich kann man die Files auch direkt an die Hersteller senden, aber welcher User hat schon Submit-Adressen von über 40 Vendors. Außerdem würde eine Antwort der AV-Hersteller wesentlich länger dauern.

Somit kann man sich malwareupload.com wohl eher sparen... 
[right][snapback]86111[/snapback][/right]

Naja, erst schaut sich ja Jotti diese Files an - dann bekommen sie die Hersteller.

[Gast_*Christian*_*]

(der Vorteil dabei ist natürlich, das einige PM's wie .."kannst du mir mal " .....aufhöhren)

Sehr witzig ... manche schicken halt, manche nicht - den Leuten denen es nicht passt, brauchen sie nicht registrieren.

[raman]

Hi Christian,

Natürlich bekommen alle Hersteller das Sample, auch wenn es erst von uns als Malware identifiziert wurde.

Ich stehe so einem System nicht so kritisch gegenueber, wie einige andere, aber ich muss da mal eben nachhaken.

Was ist, wenn ihr etwas ueberseht? Sprich irgendwas Malware ist, aber ihr es nicht merkt. Bei einer Exe ist das unter VM vieleicht schnell auszumachen, bei einer DLL schon shwerer und bei einer "Treibermalware" wohl noch schlechter.

Ihr schickt also Dateien, deren Herkunft und Zusammenhang ihr nicht kennt und ihr fuer sauber haltet nicht weiter?

[Gast_*Christian*_*]

Ihr schickt also Dateien, deren Herkunft und Zusammenhang ihr nicht kennt und ihr fuer sauber haltet nicht weiter?

Nein, ich nicht.

[IBK]

Naja, erst schaut sich ja Jotti diese Files an - dann bekommen sie die Hersteller.

Stimmt nicht. Bei Jotti können die Hersteller automatisch jeden File bekommen die sie wollen, auch die die von allen scannern als clean eingestuft wurden. Man muss nur bei den Einstellungen das angeben oder sonst auch direkt automatisch downloaden lassen wenn man die adresse kennt und man zugangsberechtigt ist.

[raman]

Bei Jotti gibt es mehrere Moeglichkeiten. Entweder automatische Benachrichtigung/versenden von verpassten Samples, oder auch zugriff ueber FTP(?).Er ueberprueft Dateien wohl nicht selber, sondern schickt das was nicht erkannt wird an die Normansandbox und falls noetig an KAV.


....und nein, wir haben keinen Zugriff auf die Malware!

[IBK]

Soviel ich weiß überprüft Jotti gar keine Malware. Und das mit Norman und Kav ist glaub ich auch nicht so. Es wird nur täglich übreprüft ob das was zuvor von niemanden erkannt wird inzwischen erkannt wird (weil man eben auch clean files bekommt).

[Lucky]

Ja, aber dafür sollte unsere Antwort genauer sein. (Undetected malware)
[right][snapback]86151[/snapback][/right]

Was ist an der Aussage "Undetected Malware" genauer?

- björn