über Virustotal

M

M4d()xxx

0
Hallo erstmal =)

ich hoffe jeder kennt virustotal.com
wenn ja dann könnt ihr mir bestimmt meine Frage beantworten.

Um auf Nummer sicher zugehen lade ich immer alle Datein die ich gedownloadet habe bei Virustotal hoch um sie zu Scannen. Dann erkenne ich ob sie sauber sind ode rnicht(ohne viren)

Doch mit den meisten Begriffen kann ich dort nichts anfangen, deshalb habe ich die Frage ob man die begrioffe nicht i-wo lernen kann.
Ein Kumpel hat mir erkärt das zb "suspicious Trojan/Worm" nicht so von bedeutung ist,da die datei nur verdächtig ist.

aber was bedeuten die andren Ergebnisse:

zb: Heuristic.Crypted
Packed/NSPack
Mal/Packer
Generic.Malware
W32/Suspicious_N.gen
.....
(das sind jetzt nur so en paar ergebnisse)
ich würde gerne erfahren welche Ergebnisse es alles so gibt und welche davon gefährlich bzw. nicht so gefährlich sind ....

Vielen Dank im Voraus
MFG

M4D()xXx
 
Englisch-Kenntnisse dürften ausreichen um die Ausgaben korrekt zu interpretieren.
 
Hallo,
wenn er dir was anzeigt, ist es meistens auch gefährlich.

Ein "suspicious Trojan/Worm" ist ein Programm, welches verdächtige Funktionen enthält. Es kann ein Wurm sein, muss aber nicht. Bei den anderen ähnlich.

Das beste ist, wenn man ein Wörterbuch zu rate zieht, z.B. www.dict.cc, dann sollten sich die meisten Begriffe schon klären.
 
Gerade bei den Ergebnissen "Packed" "Crypted" od. ähnlich gibt es oft false positives. Dabei wurde das gute Programm lediglich mit einem packer/crypter verkleinert/verschleiert, ohne böse Absichten. Nur ist dann natürlich auch die Analyse für den Scanner schwieriger.

Verschleiert in dem Sinne, dass ein Cracker es schwieriger hat, den Programm code zu verstehen - da evtl. Serial-Algos oder ähnliche Dinge vorhanden sind...
 
Signaturbasierende Virenscanner sind outdated. Es entsteht taeglich zuviel neue Malware und da kann man den Signaturen einfach nicht trauen, und grade wg Packern/Cryptern/Protectoren ist es auch fuer die AV schwierig zw. Freund und Feind zu unterscheiden. Besser ist es also nach deren Verhalten zu scannen, also sehn was sie tatsaechlich machen. Moderne Virenscanner melden dies bereits schon (Registryeingriffe, Veraenderung von Systemdaten, Netzwerkaktivitaeten oder auch das Laden von Treibern).

Daher wuerde ich dir empfehlen verdaechtige Programme online testen zu lassen. Die Sandboxes bieten alle Vor- und Nachteile, die wichtigsten hab ich mal aufgelistet, gemein haben sie alle, dass sie das hochgeladene Programm ausfuehren (damit werden faktisch alle Packer/Crypter/Protectoren umgangen) und das Verhalten protokollieren.

http://cwsandbox.org
+ leichte auszuwerten
- leicht zu umgehen, leicht zu entdecken

http://analysis.seclab.tuwien.ac.at/
+ leichte auszuwerten
- leicht zu entdecken

http://joebox.org/submit.php
+ schwer zu entdecken/zu umgehen
- Auswertung ist schwieriger als bei cwsandbox/anubis
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben