Malwareupload.com - Dateianalyse, Neues Projekt von www.hijackthis.de Einstellungen

[Heike]

Bewusst wähle ich die direkte Kommunikation, um persönliche Angriffe und Verkehrung von Aussagen zu vermeiden.

Ich wüßte nicht, was an einer Aussage, dass ein schädliches File als clean beurteilt wurde, zweideutig sein kann.

Das solche Dinge aber zukünftig lieber hinter verschlossenen Türen besprochen werden sollen, ist nicht gerade vertrauensbildend.

Derartige Postings sollten dann bitte vorerst unterbleiben, weil lediglich Scheinsicherheit vermittelt wird.

Original von *Christian*
http://www.malwareupload.com

Derzeit wahrscheinlich der genaueste und zuverlässigste File-Checker im Web.

[Gast_Jens1962_*]

Moin,

das Ganze hier kommt mir vor wie im a2-Forum. Ein User spricht eine Sache an, die wohl nicht so ganz sauber ist (freundlich ausgedrückt). Was passiert aber? Statt daß alle Alarmglocken angehen, wird erstmal der Fragesteller verbal plattgemacht.
Sollten die Fragen und Meinungen etwa ein Volltreffer gewesen sein? Wozu eine weitere Sammelstelle für Malware notwendig ist, habe ich noch nicht verstanden. Vielleicht schafft Ihr es ja, diese Sache aufzuklären.
Ich finde es auch "Spitze", wenn ich mich registrieren muß, um eine verdächtige Datei hochzuladen. Die Begründung "Bildchen" zieht bei mir nicht wirklich, da es sich bei einer solchen Datei durchaus um einen Mailanhang handeln kann, bei dem ein User nicht sicher ist, was drin steckt.

Übrigens, da es "das neueste Projekt von hjt.de" ist, dazu noch 2 Sachen.
Als erstes erstmal Danke für die Arbeit, die Ihr Euch damit macht, ist ein ziemlich gutes Hilfsmittel.
Was macht Ihr aber mit den Info's über Programme, die die automatische Auswertung anmeckert, die Ihr aber als "gut" gemeldet bekommt? Daß da etwas eingearbeitet wurde, konnte ich bisher nicht feststellen.

Jens

[Lucky]

Die erste Kritik am Login kam von mir oder?
Naja egal. Was den Upload betrittft, man kann doch in PHP Funktionen einstellen welche Art von Dateien erlaubt sind hochzuladen. So kann man z.B. eure "Porno"bildchen verhindern, das sie hochgeladen werden.

Ausserdem sollte man zu jedem Upload IP + Datum/Uhrzeit speichern, finde ich.

- björn

[IBK]

Kleine Anmerkung: ich hab die Datei an KAV (u.a.) geschickt, und die haben gleich gesehen dass es sich um Malware handelt:
MP3CONVERTER.EXE infected: Trojan.Win32.Redvip.b
Es ist also doch besser wenn die User sich direkt an die Hersteller wenden

[Rios]

Hallo IBK,
nach dem Motto gut, sicher, Kaspersky

[Yopie]

Naja egal. Was den Upload betrittft, man kann doch in PHP Funktionen einstellen welche Art von Dateien erlaubt sind hochzuladen. So kann man z.B. eure "Porno"bildchen verhindern, das sie hochgeladen werden.
[right][snapback]86280[/snapback][/right]

Wie siehts mit präparierten JPEGs aus (JPEG-Exploit)? Da war doch mal was...

Ich hab mich in solchen Fällen, wenn Jotti nichts fand oder bei Verdacht auf Fehlalarm, allerdings auch immer an Kaspersky und auch mal an rokop gewendet (oder heiß es gewandt?). Und ich sehe bislang keinen Grund, das in Zukunft anders zu machen.

[docprantl]

Die Registrierungspflicht habe ich gemacht, damit keiner mehr irgendwelche (Kinder-)Pornobildchen hochlädt.[right][snapback]86266[/snapback][/right]

Das mag so sein, aber wo registriere ich mich auf der Seite?

docprantl

[Gast_Bo Derek_*]

Ich tippe mal auf "Login für neue Benutzer"...

[docprantl]

Jetzt habe ich es gefunden.

[docprantl]

Ich habe gerade etwas hochgeladen. Jetzt bin ich gespannt...

[docprantl]

Soeben bekam ich eine Antwort per Mail und bin schwer begeistert:

Hallo,
Wir haben Ihre Datei _chameleonButton.ocx überprüft und kamen zu folgendem Ergebnis:
http://gonchuki.wsoftware.net/cb_main.html

Diesen Service muß ich öfter nutzen! Er spart mir doch glatt die Suche bei Google nach dem Dateinamen.

docprantl

[raman]

Die muessen davon ausgehen, das du zu "doof" bist dir diese Information selber zu besorgen, sonst haettest du die Datei ja nicht eingeschickt!

Also ist die Antwort diesmal korrekt.

BTW: Man kann es auch ins laecherliche ziehen...

[Voyager]

kann das sein, das der link http://gonchuki.wsoftware.net/cb_main.html garnicht geht ?! hmm

[docprantl]

Die muessen davon ausgehen, das du zu "doof" bist dir diese Information selber zu besorgen

Sorry, aber es ist eine bösartige Unterstellung, davon auszugehen, der Kunde sei "doof".

sonst haettest du die Datei ja nicht eingeschickt!

Ich schicke eine Datei ein, weil ich doof bin? Dabei kann ich dir nicht folgen... Außerdem führte der angezeigte Link zu einer englischsprachigen Seite.

Also ist die Antwort diesmal korrekt.

Aber nur für geeignete Werte von "korrekt". Die Nennung der enthaltenen Malware bzw der von dieser ausgehenden Bedrohung gehört definitiv nicht dazu.

BTW: Man kann es auch ins laecherliche ziehen...

Dafür sorgen die Betreiber schon selbst.

docprantl

[Manu]

kann das sein, das der link http://gonchuki.wsoftware.net/cb_main.html garnicht geht ?! hmm
[right][snapback]86349[/snapback][/right]

Nein, kann nicht sein.

[raman]

Sorry, aber es ist eine bösartige Unterstellung, davon auszugehen, der Kunde sei "doof".

Dann uebersetze "doof" durch "nicht in der Lage zu sein Google zu nutzen", darum sehe ich nichts schlimmes darin einen Link zu geben, den man selber ueber Google gefunden hat. Ob man die Antwort nicht vieleicht etwas ausfuehrlicher gestalten haette koennen, lassen wir mal dahingestellt.

[ins laecherliche ziehen...]

Dafür sorgen die Betreiber schon selbst. 

Das man da eine Datei als clean identifiziert hat, die Malware ist, ist natuerlich schlecht.
Sowas darf, wenn man so einen Dienst anbietet, nicht passieren. Es muss davon ausgegangen werden, das das kein Einzelfall war.
Wenn ich nicht definitiv weiss, ob die Datei sauber ist, darf ich es nicht behaupten!

Der Beitrag wurde von raman bearbeitet: 29.03.2005, 19:41

[docprantl]

Ob man die Antwort nicht vieleicht etwas ausfuehrlicher gestalten haette koennen, lassen wir mal dahingestellt.

Nein, ich finde, genau das ist der entscheidende Punkt. Bei den Antworten kann ich mir die Benutzung dieses Dienstes sparen.

docprantl

[raman]

Da habe ich mich wohl falsch ausgedrueckt, denn da bin ich ganz deiner Meinung.

[docprantl]

Supi!

[IBK]

Neues Beispiel: Ein Sample welches eindeutig nicht funktioniert aber von manchen AVs trotzdem noch erkannt wird wurde an malwareupload geschickt. Beim Uploaden wurde um eine Analyse der Datei gebeten, da der User sich unsicher war was mit dem File los ist da es zwar von seinem AV erkannt wird aber er mehr dazu wissen wollte.
Als Antwort kam nach einer Stunde:
"Hallo,
Wir haben Ihre Datei msupdate.exe überprüft und kamen zu folgendem Ergebnis:
TrojanDownloader.Small.aaq
Danke!
Gruß,
Christian"

Da es sich diesmal um Christian handelt, kann man vielleicht diesmal eine Stellungnahme dazu erwarten. Denn wiederrum wurde die Datei eindeutig nicht angeschaut, sondern lediglich gesagt als was es von einem Scanner erkannt wird, was eigentlich der User schon wusste, aber um eine Analyse gebeten hatte um zu wissen was mit seinem System geschah.
Von Einzelfällen kann hier absolut nicht mehr die Rede sein; 3 Versuche und 3 mal hat malwareupload versagt; und zwar nicht nur Christian, sondern auch Marc (und ich glaube es sind nur diese zwei die theoretisch die Files ansehen).
Also, wo bleibt die Analyse?