Dateianalyse durch www.malwareupload.com
 

So, wie mit Eisi abgesprochen werde ich hier mal schön reinposten; Einigen habe ich es ja schon vorab per PM angekündigt.

Wie ja viele wissen, habe ich oft neue oder auch relativ bekannte Malware an partytime-germany.ice@web.de schicken lassen.

Ich hatte oft Probleme die Dateien zu bekommen (nicht jeder schickt die Samples an eine FreeMail-Addy).

Inzwischen gibt es www.malwareupload.com .
Dort kann man verdächtige Dateien und infizierte Dateien hochladen.
Der Uploader hat die Möglichkeit seine upgeloadeten Dateien einzusehen, weitere upzuloaden und den Status der Analyse abzufragen.
Diese Infos werden ihm natürlich auch per Mail zugeschickt.

Am Ende des Tages erhalten dann über 40 Malwareschutzhersteller und das BSI alle Dateien zur Signaturerstellung.

Bei Bedarf kann jedoch auch noch meine Adresse partytime-germany.ice@web.de verwendet werden.

Gerne kann auf www.malwareupload.com in den Postings hingewiesen werden. Bekannte, relative unbekannte und neue Malware kann upgeloadet werden. Alles uploaden. ;)
Somit wird sichergestellt, dass alle bekannten und größeren AV-Hersteller die Datei so schnell wie möglich erhalten und Signaturen erlassen können.

Der User muss lediglich seine E-Mail-Adresse angeben (um ihn über das Ergebnis zu informieren).

Verwantwortlich für das Projekt ist Matthias Mattner (hijackthis.de)

Verbesserungen, Kritik und Anregungen gerne.

Gruß,
Christian

Hallo Christian,

auch auf die Gefahr hin, mich -mal wieder- unbeliebt zu machen, weil ich zu misstrauisch sei, oder zu negativ denke, habe ich ein paar Fragen zu diesem Service, bevor ich diesen in einem Board dieser Größe und Bekanntheit uneingeschränkt empfehlen kann. Zumal es letzlich kein Service ist, der von diesem Board oder von Trojaner-Info.de ausgeht und somit auch nicht der Verantwortung der hier Verantwortlichen steht.
Vielleicht kannst Du (oder noch besser Matze -welcher hier ja auch registriert ist-) mir darauf Antworten geben.

1. Was genau passiert mit den Dateien, die hochgeladen werden?

1.1. Wie sieht die Analyse aus? Werden die Dateien durch eine Anzahl x an Virenscanner gejagt, oder wird jede einzelne Datei tatsächlich auf Verhalten und Inhalte geprüft?

1.2 Was passiert mit den Dateien, die -wie auch immer- als 'sauber' definiert werden. Werden diese dennoch an AV-Hersteller weitergeleitet?

1.2 Wie lange verbleiben die hochgeladenen Dateien auf dem Webserver? Auch ein Webserver ist nicht unangreifbar. Will sagen, die Dateien könnten unter ungünstigen Umständen 'abgegriffen' werden...

2. Wer genau sind diese '40 Malwareschutzhersteller'?

3. Erfolgt das Ganze mit vorheriger Absprache mit dem BSI und diesen 40 Malwareschutzherstellern?

Um es noch einmal ganz deutlich zu sagen:
Ich habe nicht grundsätzlich etwas gegen solche 'Dienste'. Aber die näheren Hintergründe interessieren mich schon...

Hallo zusammen!
Als Moderator des hijackthis.de Forums beantworte ich die mich betreffenden Fragen gerne selber:

1.1
Ich gehe bei der Analyse eine feste Reihenfolge ab:
1) Eigenschaften der Datei (Eventueller 1. Hinweis auf den Hersteller)
2) PEID (Erster Hinweis auf den Packer/das Format)
3) Scan mit Kaspersky und erweiterter Signatur
4) Verifizierung mit Jottis Onlinescanner
5) wenn nötig Verifizierung mit Virustotal
Sollten bis hierher noch keine brauchbaren Resultate erfolgt sein geht es weiter:
6) Analyse mit PE Explorer und Sichtung mit UltraEdit auf auffällige Strings, URls, RegKeys etc.
7) Sollte ein manuelles Unpacken nicht möglich sein, so geht die Analyse in meiner VM weiter, dort mit ProcDump, File- und Regmon und Packetyzer (Etherreal Clone).
1.2
Nein
1.3
wird Matze beantworten
2 und 3
wird Christian beantworten

Sollte irgendetwas fehlen, ich(wir) bin(sind) offen für Anregungen und Ideen.

MfG
Marc

Hallo,

Ich übernehme hier mal den technischen Part von Malwareupload.com.

1.3: Die Dateien sind solange auf dem Webserver, bis die Analyse vollständig abgeschlossen ist. Wenn also der Status der Datei auf "Bearbeitung abgeschlossen" gesetzt wird, so wird die Datei vom Webserver gelöscht. Zwar wird im Benutzerbereich noch Dateiname, Größe, Kommentar und Antwort angezeigt, allerdings existiert diese Datei serverseitig nicht mehr.
Das ein Webserver nicht unangreifbar ist, sollte wohl jedem klar sein. Die Dateien können aber normalerweise nur von den analysierenden Personen heruntergeladen werden. Die Dateien liegen in einem Verzeichnis auf dem Webserver. Ein Download wird aber nur dann zugelassen, wenn der Referrer auf die Verwaltungsseite gesetzt ist.
Somit ist der Download nur möglich, wenn der User:
1. Den kompletten Pfad zum Download kennt
2. Den Download von unserer internen Verwaltungsseite aufruft
3. Sich in die Verwaltungsseite mit Benutzernamen und Passwort einloggen kann

Ein Download über FTP ist auch nur möglich, wenn der Benutzer das Passwort kennt. Da sich das 12-Stellige Passwort allerdings jeden zweiten Tag automatisch ändert, halte ich das für unrealistisch.

Für weitere technische Fragen zu Malwareupload.com / Hijackthis.de stehe ich weiterhin zur Verfügung.

MfG, Mathias (Matze)

Hallo Marc,
hallo Matze,

danke für Eure Erläuterungen! :)

Ich runde es dann mal hiermit ab:

Zu Frage 2:


Die Submit-Abteilungen folgender Firmen:

1. Softwin
2. Emsisoft
3. Ewido
4. Safer-Networking
5. Virudin
6. Trendmicro Labs
7. Ikarus
8. H+B EDV
9. Computer Associates
10. Percomp Verlag
11. F-Secure
12. Mischel Security
13. Pandasoftwares
14. Alwil Software
15. Kaspersky Lab
16. Grisoft
17. Eset
18. Centralcommand
19. eTrust
20. Norman Software
21. Sophos Software
22. Doctor Web Ltd.
23. Prognet Technologies
24. DiamondCS
25. Lavasoft
26. GeCAD Software
27. nsclean Kevin McAleavey
28. Frisk Software
29. Commandsoftware
30. CAT Sotware
31. Avertlabs
32. OpenSource Project openantivirus
33. OpenSoucre Project ClamAV
34. Symantec
35. Astonsoft
36. Agnitum
37. Ahnlabs
38. Fortinet
39. Virusbuster Ltd.
40. MKS
41. Sybari
42. Filseclab

43. Bundesamt für Sicherheit in der Informationstechnik


Zu Frage 3:

Den Firmen und dem BSI ist bekannt, dass die Dateien von malwareupload.com stammen.
Weitere Absprachen sind nicht gegeben bzw. erforderlich.