[HaBo]

M4d()xxx · 02.03.08, 18:07

Hallo erstmal =)

ich hoffe jeder kennt virustotal.com
wenn ja dann könnt ihr mir bestimmt meine Frage beantworten.

Um auf Nummer sicher zugehen lade ich immer alle Datein die ich gedownloadet habe bei Virustotal hoch um sie zu Scannen. Dann erkenne ich ob sie sauber sind ode rnicht(ohne viren)

Doch mit den meisten Begriffen kann ich dort nichts anfangen, deshalb habe ich die Frage ob man die begrioffe nicht i-wo lernen kann.
Ein Kumpel hat mir erkärt das zb "suspicious Trojan/Worm" nicht so von bedeutung ist,da die datei nur verdächtig ist.

aber was bedeuten die andren Ergebnisse:

zb: Heuristic.Crypted
Packed/NSPack
Mal/Packer
Generic.Malware
W32/Suspicious_N.gen
.....
(das sind jetzt nur so en paar ergebnisse)
ich würde gerne erfahren welche Ergebnisse es alles so gibt und welche davon gefährlich bzw. nicht so gefährlich sind ....

Vielen Dank im Voraus
MFG

M4D()xXx

**bitmuncher** · 02.03.08, 18:11

Englisch-Kenntnisse dürften ausreichen um die Ausgaben korrekt zu interpretieren.

Anzeige

- Anzeige -

**Elderan** · 02.03.08, 18:11

Hallo,
wenn er dir was anzeigt, ist es meistens auch gefährlich.

Ein "suspicious Trojan/Worm" ist ein Programm, welches verdächtige Funktionen enthält. Es kann ein Wurm sein, muss aber nicht. Bei den anderen ähnlich.

Das beste ist, wenn man ein Wörterbuch zu rate zieht, z.B. www.dict.cc, dann sollten sich die meisten Begriffe schon klären.

02.03.08, 18:24

Gerade bei den Ergebnissen "Packed" "Crypted" od. ähnlich gibt es oft false positives. Dabei wurde das gute Programm lediglich mit einem packer/crypter verkleinert/verschleiert, ohne böse Absichten. Nur ist dann natürlich auch die Analyse für den Scanner schwieriger.

Verschleiert in dem Sinne, dass ein Cracker es schwieriger hat, den Programm code zu verstehen - da evtl. Serial-Algos oder ähnliche Dinge vorhanden sind...

xrayn · 05.03.08, 16:22

Signaturbasierende Virenscanner sind outdated. Es entsteht taeglich zuviel neue Malware und da kann man den Signaturen einfach nicht trauen, und grade wg Packern/Cryptern/Protectoren ist es auch fuer die AV schwierig zw. Freund und Feind zu unterscheiden. Besser ist es also nach deren Verhalten zu scannen, also sehn was sie tatsaechlich machen. Moderne Virenscanner melden dies bereits schon (Registryeingriffe, Veraenderung von Systemdaten, Netzwerkaktivitaeten oder auch das Laden von Treibern).

Daher wuerde ich dir empfehlen verdaechtige Programme online testen zu lassen. Die Sandboxes bieten alle Vor- und Nachteile, die wichtigsten hab ich mal aufgelistet, gemein haben sie alle, dass sie das hochgeladene Programm ausfuehren (damit werden faktisch alle Packer/Crypter/Protectoren umgangen) und das Verhalten protokollieren.

http://cwsandbox.org
+ leichte auszuwerten
- leicht zu umgehen, leicht zu entdecken

http://analysis.seclab.tuwien.ac.at/
+ leichte auszuwerten
- leicht zu entdecken

http://joebox.org/submit.php
+ schwer zu entdecken/zu umgehen
- Auswertung ist schwieriger als bei cwsandbox/anubis

Anzeige

- Anzeige -

02.03.08, 18:07	#1 (permalink)
M4d()xxx Registriert seit: 02.03.08 Likes: 0	über Virustotal Anzeige Hallo erstmal =) ich hoffe jeder kennt virustotal.com wenn ja dann könnt ihr mir bestimmt meine Frage beantworten. Um auf Nummer sicher zugehen lade ich immer alle Datein die ich gedownloadet habe bei Virustotal hoch um sie zu Scannen. Dann erkenne ich ob sie sauber sind ode rnicht(ohne viren) Doch mit den meisten Begriffen kann ich dort nichts anfangen, deshalb habe ich die Frage ob man die begrioffe nicht i-wo lernen kann. Ein Kumpel hat mir erkärt das zb "suspicious Trojan/Worm" nicht so von bedeutung ist,da die datei nur verdächtig ist. aber was bedeuten die andren Ergebnisse: zb: Heuristic.Crypted Packed/NSPack Mal/Packer Generic.Malware W32/Suspicious_N.gen ..... (das sind jetzt nur so en paar ergebnisse) ich würde gerne erfahren welche Ergebnisse es alles so gibt und welche davon gefährlich bzw. nicht so gefährlich sind .... Vielen Dank im Voraus MFG M4D()xXx

02.03.08, 18:11	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Englisch-Kenntnisse dürften ausreichen um die Ausgaben korrekt zu interpretieren. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Domain über SSL bei meinem Provider nur über bestimmte Voradresse erreichbar, nicht https://	habo4ife	(In)security allgemein	5	27.08.09 18:30
Was kann man über die E-Mail Adresse über einen herausfinden?	Enterprize1	(In)security allgemein	6	21.05.07 11:22
VNC über SSH	Phelis	(In)security allgemein	3	15.04.07 02:36
iNet über Modem über Wlan	CyrieBaby	Network · LAN, WAN, Firewalls	3	17.10.06 16:57

02.03.08, 18:11	#3 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, wenn er dir was anzeigt, ist es meistens auch gefährlich. Ein "suspicious Trojan/Worm" ist ein Programm, welches verdächtige Funktionen enthält. Es kann ein Wurm sein, muss aber nicht. Bei den anderen ähnlich. Das beste ist, wenn man ein Wörterbuch zu rate zieht, z.B. www.dict.cc, dann sollten sich die meisten Begriffe schon klären.

02.03.08, 18:24	#4 (permalink)
IsNull Guest Likes:	Gerade bei den Ergebnissen "Packed" "Crypted" od. ähnlich gibt es oft false positives. Dabei wurde das gute Programm lediglich mit einem packer/crypter verkleinert/verschleiert, ohne böse Absichten. Nur ist dann natürlich auch die Analyse für den Scanner schwieriger. Verschleiert in dem Sinne, dass ein Cracker es schwieriger hat, den Programm code zu verstehen - da evtl. Serial-Algos oder ähnliche Dinge vorhanden sind...

05.03.08, 16:22	#5 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Signaturbasierende Virenscanner sind outdated. Es entsteht taeglich zuviel neue Malware und da kann man den Signaturen einfach nicht trauen, und grade wg Packern/Cryptern/Protectoren ist es auch fuer die AV schwierig zw. Freund und Feind zu unterscheiden. Besser ist es also nach deren Verhalten zu scannen, also sehn was sie tatsaechlich machen. Moderne Virenscanner melden dies bereits schon (Registryeingriffe, Veraenderung von Systemdaten, Netzwerkaktivitaeten oder auch das Laden von Treibern). Daher wuerde ich dir empfehlen verdaechtige Programme online testen zu lassen. Die Sandboxes bieten alle Vor- und Nachteile, die wichtigsten hab ich mal aufgelistet, gemein haben sie alle, dass sie das hochgeladene Programm ausfuehren (damit werden faktisch alle Packer/Crypter/Protectoren umgangen) und das Verhalten protokollieren. http://cwsandbox.org + leichte auszuwerten - leicht zu umgehen, leicht zu entdecken http://analysis.seclab.tuwien.ac.at/ + leichte auszuwerten - leicht zu entdecken http://joebox.org/submit.php + schwer zu entdecken/zu umgehen - Auswertung ist schwieriger als bei cwsandbox/anubis

[HaBo]

über Virustotal