Mein Software Uptodate läuft ohne Probleme durch 0 Treffer.

http://www.virustotal.com/de/analisi...fc2-1251447391

Bei den meisten von euch schlägt die heuristic an, weil ihr packer usw. verwendet.

ja, auf packer habe ich bei diesen beiden test verzichtet...

Die Frage ist ja jetzt, wie ich herausfinden kann ob sich da nun wirklich nen virus dahinter versteckt, oder obs nur nen fehlalarm ist..

bei Fehleralarm, kann man dann irgendwie kontakt zu den herstellern des virenscanners aufnehemn und die file bei denen nochmal testen lassen?


lg marco!

Du hast dir doch bestimmt in den letzen Monaten (seitdem dieser Virus schon unterwegs ist)
neue Software oder Updates runtergeladen?

Ich speichere mir z.B. solche Dinge und hab mir 'ne kleines Setup-Verzeichnis auf einer externen Platte erstellt,
so daß ich beim Neuinstallieren des PCs nicht immer alles neu runterladen muß.

Nja und solche Setups sollten mal überprüft oder gleich neu besorgt werden, wenn der Verdacht besteht, daß da etwas "Böses" drin sein könnte.

ja ne mache ich net so, ich lade es immer neu runter...

Hi SimStar001,

Du könntest Deine EXE auch mal bei ThreatExpert hochladen (http://www.threatexpert.com/). Ist möglicherweise ein Rootkit, welches Du Dir da eingefangen hast, hier mal ein Thread bei Rokop Security wo der "Trojan.Crypt!IK" auch auftaucht: http://www.rokop-security.de/index.p...st=20&start=20.

Ich habe sowas mal vor Jahren bei Sicherheitstests in einer VM beobachten können, die das Ziel hatte Infektionen durch Software aus nicht-offziellen Quellen zu testen.

Nein, es ging dabei nicht um "Raubkopien" per se, sondern um veränderte Downloads auf Mirror Hosts - ja, sowas kommt natürlich auch vor. Die Erkennungsrate der AV war erschreckend gering, deswegen haben wir ja heutzutage die ganze Heuristik in den Viren- und Malware-Scannern.

Die tatsächliche Entdeckungsquote von Virenscanner liegt bei neuen Bedrohungen nunmal so lange keine Signaturen vorliegen im Bereich zwischen 0% und 100%, auch wenn das Marketing etwas anderes suggerieren möchte. Gleiches gilt für E-Mail Filter (man erinnere sich an die Umgehung durch Sonderzeichen, die einfach gestrippt wurden - da hat der Filter die Malware selbst wieder gangbar gemacht).

Ohne Dir also zu nahe zu treten zu wollen, prüfe, ob irgendeine Software bei Dir möglicherweise so ein Problemfall sein könnte.

Es kann natürlich auch wirklich sein, daß es ein False-Positive ist. Aber der Trojan.Crypt!IK wird wohl erst seit Mitte April gefunden, also kann die Infektion schon lange zurück liegen.

Du könntest uns auch mal eine EXE anhängen (veränderte Extension bitte), dann wären weitere Tests möglich. Frage: Verwendest Du selbst irgendwelche Verschlüsselung in Deinem Source, den Du von irgendwo kopiert hast?

Soweit es sich um UPX handelt, ist dies meiner Meinung nach lange überholt. Das galt sicherlich vor vielen Jahren mal, aber UPX läßt sich heute von jeder Scan-Engine problemlos entpacken und wirft nicht mal mehr Warnungen. Nur die ganzen UPX Mods, die durch Änderungen der Header ein Entpacken erschweren sollen, werden geflaggt. Sowas zu nutzen ist aber auch ... nicht schlau, denn das Entpacken wird damit nicht wirklich erschwert. Gerade im Bereich portabler Anwendungen wird UPX oft verwendet, z.B. bei PortableApps. Die liegen bei über 100 Millionen Downloads ohne einen einzigen öffentlich gewordenen False-Positive.

Bei anderen EXE Packern und Crypter gilt dies natürlich oft weiterhin, aber SimStar sagt ja, die EXE ist zuletzt unverändert getestet.

Gruß Assertor

Also verschlüsselungen verwende ich zur zeit nicht im quellcode...
was ich zuvor mal gemacht hatte war die exe mit WinLicense zu sichern, gegen angriffe....

aber wie gesagt, die letzten test waren ohne packer, nur die reine comilierte .exe...

so dann häge ich mal die file an:

bei threatexpert dauerts noch...

So hier mal ein paar Ergebnisse:

Easy Clearance 3 : http://www.threatexpert.com/report.a...fa13b3be1fc702
ECFSTServ : http://www.threatexpert.com/report.a...eb62f11b1a88a7
VoiceATIS : ...pending...


so was sagt mir das ganze jetzt? sieht irgendwie nicht danach aus, als wäre es befallen oder?

McAfee findet auch nichts

Hi,

Deine Anwendung EC3 crasht bei ThreatExpert.

Aber auf Anhieb kann ich auch nichts ungewöhnliches sehen. Du verwendest Indy (eine ältere Version afaik), Units für RAR (Entpacken per unrar.dll), Alzaimars csWorkerThread und einige eigene Sachen. Wieso stand obene eigentlich was von FTP Transfer, ich kann hier keinen FTP Traffic in der VM sniffen...

Ich würde mal die beiden Hersteller von Virustotal anschreiben, damit die das ggf. als False-Positive flaggen (oder Dir nachweisen, es ist doch was drin).

Gruß Assertor

alles klar, dann werde ich mal die beiden anschreiben...

weshalb das tool crashed: es fehlen dateien würde ich sagen, habe nur die exe hochgeladen... oder kann man dort auch nen ordner oder so hochladen?