Hilfe - Suche - Mitglieder - Kalender
Vollansicht: FP oder Bösewicht?
Rokop Security > Security > Trojaner, Viren und Würmer
hypnosekroete
Was haltet ihr denn hiervon?

Das ganze soll ein Programm sein, welches bei der Examensvorbereitung helfen soll. (Fallstudien mit entsprchenden MC-Fragen)

Hier mal die Berichte von VirusTotal und VirScan...

Ich bin mir gerade nicht ganz sicher, ob es sich um ein FP (->Packer) handelt oder tatsächlich irgendwie bösartig ist.

Die Datei gibt es hier (Rechts Oben auf "Der Hammer" klicken, bei der Registrierung kann man irgendwelchen Blödsinn eingeben), irgendwie wirkt die Seite auf mich persönlich nur mäßig seriös.
Hab leider gerade kein Testsys am Start, vielleicht ist ja jemand so gnädig...

Julian
Der Installer hat eine gültige Signatur, die .exe vom Programm nicht.
Die heuristische Erkennung mancher AVs bei Virustotal ist wohl nicht so abwegig bei den komischen Aktionen, die das Teil machen will.
Edit: Ziemlich ominös für eine Art Bürosoftware / Bildungssoftware, die vom Prinzip her doch eigentlich überhaupt keinen tiefen Systemzugriff benötigt.
Klicken um den Anhang anzusehen Klicken um den Anhang anzusehen

Vielleicht schaut sich ja jemand das Teil mit Analysetools an, im vertrau dem Ding jedenfalls nicht allzu sehr...
subset
Hi,

Edit durch das von Julian Geschriebene relativiert sich das von mir kursiv Geschriebene natürlich.
Würde mich aber doch interessieren, ob das mit Low Level Disk Access wirklich stimmt.
Denn was macht es dann daraus?

kann da nichts Verdächtiges erkennen, die hammerfaelle-asi-install.exe kannst du mit jedem Packprogramm (7-Zip, WinRAR) entpacken.

Da drinnen sind die hammerfaelle.exe, MID.dll, Teil1.exe und Teil2.exe.
Die hammerfaelle.exe startet das Hauptprogramm.
Teil1.exe und Teil2.exe sind wohl mit ASProtect, einem PE Packer, geschützt.
Beim Starten dieser beiden Exes werden die PPTVIEW.EXE (PowerPoint Viewer) und einige DLLs in das temporäre Verzeichnis entpackt.
Und es startet... der PowerPoint Viewer. Nicht wirklich bösartig.

Nur nebenbei.
Auch ohne Testrechner kann man solche Programme z.B. mit Returnil testen.
http://www.returnilvirtualsystem.com/
Ein kleines, kostenloses Programm mit dem alle Veränderungen am System mit einem Neustart verloren gehen.
Ich hätte sogar eine deutsche Übersetzungsdatei dafür. whistling.gif

MfG
Scrapie
Hi

Ich tippe stark auf einen FP:

Das Programm hat zwei Anwendungen drinne, die mit dem "PowerPoint Slide Show Converter v3.1.0" erstellt / geschützt und zusätzlich mit ASProtect geschützt wurden. ASProtect löst den FP bei manchen AV's aus. Wenn man die Installation protokolliert, wird nichts Verdächtiges angelegt. Gleiches gilt beim Start der zwei Anwendungen (Teil1.exe & Teil2.exe) und der Hauptanwendung. Smartsniff findet keinen Datenverkehr im Netzwerk.


Scrapie
hypnosekroete
Danke Euch!
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.