dropper gen durch jpg downloads/file sicher prüfen

    hi,

    gestern habe ich einen neuen ordner auf dem desktop erstellt zwecks temporäre ablage für jpg dateien die über down them all
    von seriösen webseiten gezogen wurden.

    ich habe ein ziemlich abgesichertes system welches unter windows xp hinter einer fritz box läuft.

    alle erforderlichen updates waren zum zeitpunkt der infektion installiert.
    es läuft ein avira premium mit zone alarm.

    eben bekam ich die meldung, dass das system In der Datei (das ist der ordner wie o.a) 'C:\Dokumente und Einstellungen\benutzername\Desktop\temp jpg\Neuer Ordner\IVIresize.dll'
    wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
    Ausgeführte Aktion: Datei in Quarantäne verschieben

    frage:

    1. meint ihr, dass es sich dabei um einen fehlalarm handelt?

    2. gibt es eine möglichkeit diese datei in einer art sandbox bei virustotal hochzuladen..
    wenn ich nämlich bei virus total das file überprüfen will dann muss ich ja avira ausschalten.

    Zitat

    gibt es eine möglichkeit diese datei in einer art sandbox bei virustotal hochzuladen..
    wenn ich nämlich bei virus total das file überprüfen will dann muss ich ja avira ausschalten.

    Nicht das ich Software von Avira einsetze, aber weshalb musst du diese bei Nutzung der Webseite deaktivieren? Unterbindet der Wächter den Zugriff? Sonst lass ihn eben temporär zu bzw. hol die Datei wieder aus der Quarantäne.

    wenn ich das mache dann könnte sich der schädling verbreiten.

    avira meldet nach der herstellung gleich wieder, dass ein schädling gefunden wurde.

    eben musste ich feststellen, dass eine 20 gb große jpg datei in dem ordner ist.

    verdammt was ist das?

    Zitat

    wenn ich das mache dann könnte sich der schädling verbreiten.

    Solange kein Prozess die dll ausführt, kann nicht wirklich etwas passieren. Wenn du Befürchtungen hast, dass bereits ein solcher Prozess läuft und dein AV-Programm nicht eingreift, dann hol dir eine Live-CD eines Linux-Systems (bspw. Ubuntu), boote von CD und lad die Datei dann bei virustotal hoch.

    habe eben mal mit sandboxie bei virustotal diese dll datei hochgeladen.

    lediglich mcafee meldet dort mit antivir, dass die datei infiziert wäre.

    McAfee-GW-Edition 6.7.6 2009.05.29 Trojan.Dropper.Gen also wohl ein klassicher fehlalarm.

    aber warum ist in dem ordner eine 20 gb große jpg datei?

    Quelle: kontrollstelle1000

    Zitat von kontrollstelle1000

    habe eben mal mit sandboxie bei virustotal diese dll datei hochgeladen.

    Falls du den Fx damit gestartet hast, bringt das relativ wenig nach einer potentiellen Infektion. Insbesondere führt der Fx die dll beim Upload nicht aus.

    hallo,

    hat sich jetzt erledigt.

    habe die dll mal ohne sandboxie an virustotal gesendet.
    wie bereits erwähnt war das ergebnis ziemlich mager.

    jetzt erkennt sogar nur noch avira die dll datei als dropper trojaner.

    die 20 gb jpg datei konnte ich mit unlocker umbenennen und dann löschen lassen.
    jetzt ist wieder alles beim alten.

    spybot findet ebenfalls nichts mehr.

    kontrollstelle1000 fragte Folgendes:

    Zitat

    [...]eben musste ich feststellen, dass eine 20 gb große jpg datei [und eine vresize.dll] in dem Ordner ist.
    verdammt was ist das?


    Eine "vresize.dll " dient der Skalierung (proportionalen Anpassung) von Bild- und Videodaten, und zwar in Hinblick auf Deine pers. Systemdarstellungsmöglichkeiten.

    Bei einer 20GB (!) grossen JPG-Datei, (deren Herkunft sich für Dich ja scheinbar als unerklärlich gestaltet), wäre eine zusätzliche Skalierungsfunktion - in Bezug auf die Grösse solcher heruntergeladenen Datei - nicht ganz von ungefähr.

    Frege Dich einmal, wie so eine voluminöse JPG-Datei - ohne Deine Verfügung - überhaupt auf Dein System gelangen konnte...


    kontrollstelle1000 erklärte darüberhinaus:

    Zitat

    [...]habe die dll mal ohne sandboxie an virustotal gesendet.
    wie bereits erwähnt war das ergebnis ziemlich mager.
    jetzt erkennt sogar nur noch avira die dll datei als dropper trojaner.
    die 20 gb jpg datei konnte ich mit unlocker umbenennen und dann löschen lassen.
    jetzt ist wieder alles beim alten.
    spybot findet ebenfalls nichts mehr.


    kontrollstelle1000:
    Auch wenn Du Dich angeblich hinter einem "abgesicherten" System währen solltest, benutze gefälligst Deinen Verstand - statt dagegen ein Konglomerat von verschiedenen Virenscannern einzusetzen


    Oliver

    ich kann mir das mit der 20 gb datei auch nicht erklären.

    diese datei wurde wohl zusammen mit der dll datei erstellt als ich in einem leeren ordner über
    firefox jpg dateien heruntergeladen habe.

    vor dieser prozedur habe ich lediglich eine thumb viewer software installiert.
    ich konnte auf den it seiten zwar keinen hinweis auf die software finden empfand aber die seite und das programm seriös.

    http://www.itsamples.com/index.html

    hier habe ich den thums.dll viewer heruntergalden und anschließend etliche thumb dateien manuell gelöscht.

    kontrollstelle1000 stellte Folgendes dar:

    Zitat

    Ich kann mir das mit der [unbeabsichtigt heruntergeladenen] 20 gb datei auch nicht erklären.


    Dein System ist scheinbar bereits einem potentiellen Angriffs-Vektor ausgeliefert, da Du nicht mehr in der Lage zu sein scheinst, auf externe Verfügungen - also externe Zugriffskontrollen / unbeabsichtigte Downloads - selber einzuwirken. (Def. der sog. "Objektdeskriptoren", i.B. auf das zugrundeliegende Betriebssystem).

    "Subjekt" (Du) > "Objekt" (die Anwendung, welche etwas erwirken möchte, jedoch dazu stets Deiner Erlaubnis bedarf) > System (das zugrundeliegende Betriebssystem selber, welches sich wiederum über die Erlaubnisse der einzelnen Objekte selber definiert, welche Du im Vorfeld in Kraft gesetzt hattest). In dieser Kette "fehlt" vermutlich bei Dir eine genaue Definition.


    Versuche daher einmal Folgendes, (sofern Du Windows NT / 2000 / XP and upward benutzt):

    Zitat

    > Ausführen > "MSConfig" ausführen > Microsoft-Dienste ausblenden.

    > Verbleibende (externe Dienste) vorübergehend deaktivieren.

    > System Neustarten.

    > Externe Prozesse analysieren, dann vereinzelnd wieder zuschalten.


    In Bezug auf Boardraiders obigen Beitrag, lässt sich - nach meinen bisherigen Erkenntnissen - jedes OS i.d.T. auf seine Prozesse hin "reduzieren", bzw. "analysieren".

    Jede Anwendung stellt auf einem System somit stets auch immer einen Prozess selber dar - jedoch verinnerlicht nicht jeder Prozess zwangsläufig auch immer eine Anwendung. (Prozesse > Anwendungen).


    Oliver

    kann ich mir nicht vorstellen.

    habe sogar mit spybot gescannt und er hat nichts gefunden.

    ich würde mal sagen, dass diese 20 gb datei vielleicht dadurch entstanden ist als ich eraser über das verzeichnis hab laufen lassen.

    dabei ist der eraser nämlich hängen geblieben.

    vielleicht hat er die datei dadurch erzeugt.

    warum sollte ein trojaner denn so eine große auffällige datei erzeugen.. dies spricht alles dagegen.

    trotzdem vielen dank..

    Quelle: kontrollstelle1000

    Zitat von kontrollstelle1000

    habe sogar mit spybot gescannt und er hat nichts gefunden.

    Ein Scan mit Spybot ist im Ernstfall sicher nicht als Maßstab zu werten.