WinFuture-Forum.de: Habe leider aus Versehen auf eine dubiose .exe geklickt - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Habe leider aus Versehen auf eine dubiose .exe geklickt 5/53 Erkennungsrate VirusTotal


#1 Mitglied ist offline   dasWu 

  • Gruppe: Mitglieder
  • Beiträge: 6
  • Beigetreten: 23. November 14
  • Reputation: 0

geschrieben 24. Juli 2016 - 06:32

Hallo

habe leider vor lauter Dummheit eine eine dubiose .exe ausgeführt.

Also habe mir aus Dummheit :angry: eine torrent geladen, in dem Ordner war dann eine zip. Diese dann entpackt und überhastet und leichtfertig durchgeklickt.

Auf der zweiten Ebene war dann die böse .exe und die habe ich doppelgeklickt (hatte ein ordnerähnliches icon und habe das .exe übersehen).

Es passierte nichts ungewöhnliches ausser: die .exe verschwand und es tauchte stattdessen ein Ordner mit dem versprochenen Content auf.

Habe diese .exe auf VirusTotal hochgeladen und erhielt folgendes Ergebnis:

SHA256: e06dacff56db3ed34e1bcdb05db0d69c4b02ac9725901c38d7054a658b242a87
Dateiname: Australian Penthouse Black Label.exe
Erkennungsrate: 5 / 53
Analyse-Datum: 2016-07-24 04:50:43 UTC ( vor 0 Minuten )


AVG: MSIL10.ARRK
Bkav: HW32.Packed.DAF3
Ikarus: Win32.SuspectCrc
Qihoo-360: HEUR/QVM19.1.0000.Malware.Gen
Zillya: Trojan.Yakes.Win32.55794

hier der Link VirusTotal-Analyse


Mein System ist ein Win10 64Bit Pro, habe keinen Virenscanner installiert ausser Windows Defender.

Meine Frage: Wie schlimms ist das Ganze? 48 Virenscanner haben immerhin keinen Alarm geschlagen, darunter Windows-Defender.
Sollte ich den Rechner gleich zurücksetzten oder kann ich das ignorieren bzw. wie sollte ich handeln?
Ach ja, lacht mich bitte nicht aus wegen dem Dateinamen :blush:

Danke wenn mir jemand unbürokratisch helfen könnte :unsure:

Dieser Beitrag wurde von dasWu bearbeitet: 24. Juli 2016 - 10:37

0

Anzeige



#2 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 24. Juli 2016 - 07:34

das sind Heuristiktreffer. Also kein bekannter Virus/Trojaner oder sonstiges Viehzeuch.
Ich vermute mal, das war ein selbstentpackendes Archiv, diverse Packalgorithmen in der "Szene" werden von der Heuristik mancher Antivirusengines als Schadsoftware erkannt.
Das Archiv als solches wird kaum schädlich sein, aber der Inhalt kann.

Also erstmal nur geringfügige Panik schieben.

Jetzt kommt es darauf an, ob du deinem Rechner noch vertraust.
Die sicherste Lösung ist natürlich neuaufsetzen.
Ansonsten, bobachte das Verhalten deines Rechners. Ungewöhnliche CPU-Aktivität, dubiose Hintergrundprozesse, Verbindungsaufbauten zu Servern, mit denen er früher nmicht kommuniziert hat usw.


Und für die Zukunft: Pfoten weg von Torrents aus dubioser Quelle. Das gleiche gilt natürlich für alle anderen Formen von Downloads, wo Dinge drin sind die eigentlich nicht kostenlos sein dürften.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
1

#3 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 24. Juli 2016 - 07:59

Neben den von Sturmvoik möchte ich noch folgendes ergänzen:
Scanne deinen PC einmal mit MalwareBytes Antimalware und für die Zukunft: erstelle dir ein besseres Sicherheitskonzept, denn deins hat versagt.
0

#4 Mitglied ist offline   dasWu 

  • Gruppe: Mitglieder
  • Beiträge: 6
  • Beigetreten: 23. November 14
  • Reputation: 0

geschrieben 24. Juli 2016 - 10:35

Beitrag anzeigenZitat (Sturmovik: 24. Juli 2016 - 07:34)


Das Archiv als solches wird kaum schädlich sein, aber der Inhalt kann.

Also erstmal nur geringfügige Panik schieben.


Erstmal vielen Dank für deine Antwort. :8):

Also nachdem ich die .exe geklickt hatte, wurde der erwartete Content ja aus der .exe "entpackt". Ohne Fortschrittsfenster etc., also einfach so.
Ganz gewöhnliche .pdfs und .jpgs, keine ungwöhnlichen Dateien oder gar ausführbare Dateien.
Ich habe bisher nichts von selbstentpackenden .exe gewusst und mich wunder halt nur noch ein wenig, dass diese "selbstentpackende" exe selbst in einem Rar-Archiv gepackt war.

Hab mal ein Bild vom Aufbau der Rar gemacht, vielleicht fällt da einem etwas auf :ph34r:

Angehängte Miniaturbilder

  • Angehängtes Bild: penthouse.jpg

0

#5 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 24. Juli 2016 - 10:41

Was soll uns da aufallen?
Eine exe in einem Archiv. Nix unnormales.

Prüfe lieber deinen Rechner intensiv statt dich mit solchen Unnütz zu beschäftigen.
0

#6 Mitglied ist offline   dasWu 

  • Gruppe: Mitglieder
  • Beiträge: 6
  • Beigetreten: 23. November 14
  • Reputation: 0

geschrieben 24. Juli 2016 - 10:56

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 24. Juli 2016 - 10:41)

Was soll uns da aufallen?
Eine exe in einem Archiv. Nix unnormales.

Prüfe lieber deinen Rechner intensiv statt dich mit solchen Unnütz zu beschäftigen.


Ja mach ich ja. Ich drehe gerade jedes Bit um.

Ungewöhnlich für mich war auf jeden Fall, dass nach dem versehentlichen Doppelklick weder der "Datei öffnen - Sicherheitswarnung"-Dialog noch die Benutzerkontensteuerung von Win10 hochkam.

Wenn diese .exe mehr als ein selbstentpackendes Archiv darstellt, dann hätte sich Windows vor dem ausführen melden müssen oder?
0

#7 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 24. Juli 2016 - 11:18

Nö.

Wenn die Datei keine Adminrechte anfordert kommt auch keine UAC Dialog.
Und die Sicherheitswarnung kommt nur bei zB nicht signierten Dateien.

Da die Datei aber ein selbstentpackendes Archiv war, war wohl beides nicht der Fall und daher keine Warnung.
Solch ein Archiv lässt sich mit jedem Packprogramm erstellen.

Und selbst wenn es kein Archiv war, kann eine exe schlimmeres anstellen als nur etwas zu entpacken.
Siehe Crypto-Trojaner.
0

#8 Mitglied ist offline   bastelphillip 

  • Gruppe: aktive Mitglieder
  • Beiträge: 442
  • Beigetreten: 14. Juni 13
  • Reputation: 37
  • Geschlecht:Männlich

geschrieben 24. Juli 2016 - 11:18

Da frage ich mich dann aber doch, warum du nicht VOR dem Ausführen einer dubiosen .exe Datei
diese an VirusTotal zum Prüfen sendest, wenn du diese Möglichkeit einer Überprüfung offensichtlich
kennst. Wenn es dort Warnungen gibt, dann kann ich immer noch entscheiden, ob es mir das Risiko
des Ausführens so einer .exe wert ist oder eben halt nicht. Was @Sturmovik über die Heuristik von
Antivirusengines schreibt ist richtig. Es werden auch oftmals "saubere" Game-Trainer etc. als Virus
eingestuft, da deren Funktionen der Heuristik "nicht geheuer vorkommen", so will ich es mal nennen.
Die von der Szene verwendeten Packer gehören genauso mit dazu, auch bei diesen schlägt die Heuristik
der verschiedenen Engines von Antivirus Programmen gerne an, obwohl sich im Grunde nichts Gefährliches
dahinter verbirgt. Aber wie auch immer, wenn ich "Material" aus dubiosen Quellen downloade, muss ich
mir eines gewissen Risikos bewußt sein. Punkt.

Eine Möglichkeit zum Testen solchen Materials ist z.B. das Programm Sandboxie, wobei auch zu diesem
Programm gesagt sei, dass grenzenloses Vertrauen nach dem Motto "na jetzt kann ja gar nichts mehr passieren" fehl am Platz ist. 100-prozentige Sicherheit gibt es eben nicht.

http://www.sandboxie.com/

Insoweit stimme ich also dem von @Sturmovik Geschriebenen voll zu.

Dieser Beitrag wurde von bastelphillip bearbeitet: 24. Juli 2016 - 11:24

0

#9 Mitglied ist offline   dasWu 

  • Gruppe: Mitglieder
  • Beiträge: 6
  • Beigetreten: 23. November 14
  • Reputation: 0

geschrieben 24. Juli 2016 - 11:29

Beitrag anzeigenZitat (bastelphillip: 24. Juli 2016 - 11:18)

Da frage ich mich dann aber doch, warum du nicht VOR dem Ausführen einer dubiosen .exe Datei
diese an VirusTotal zum Prüfen sendest, wenn du diese Möglichkeit einer Überprüfung offensichtlich
kennst. Wenn es dort Warnungen gibt, dann kann ich immer noch entscheiden, ob es mir das Risiko
des Ausführens so einer .exe wert ist oder eben halt nicht.


Also nochmal: Ich hatte übersehen, dass es eine EXE-Datei war! Die Exe hat ein ähnliches Icon wie ein Ordner und ich habe einfach zu schnell geklickt! Wenn ich die Dateiendung aus Schlafdrunkenheit nicht übersehen hätte, hätte ich natürlich auch nicht doppelgeklickt!

Da nochmal ein Bild, sieht durch halbgeschlossene Augen aus wie ein Ordner! :blink:

Angehängte Miniaturbilder

  • Angehängtes Bild: datei.jpg

0

#10 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 24. Juli 2016 - 11:45

Das Icon einer exe lässt sich leicht ändern. Aber da dies scheinbar wissentlich geändert wurde um das Opfer zu täuschen, gehe ich davon aus das die exe definitiv nix gutes im Sinn hat.

Und selbst wenn du das .exe hinten übersehen hast, steht weiter hinten sogar das es sich um eine Anwendung handelt.
bastelphillip stimm ich zu. Sandboxie hätte das verhindert- ein gutes Sicherheitskonzept aber auch.
0

#11 Mitglied ist offline   Future010 

  • Gruppe: aktive Mitglieder
  • Beiträge: 704
  • Beigetreten: 02. Januar 14
  • Reputation: 69
  • Geschlecht:Männlich

geschrieben 24. Juli 2016 - 12:14

Die Frage ist auch grundsätzlich, was wolltest du überhaupt laden?

Bei einem Film (so nehme ich an) sollte man sich dann noch mehr wundern, warum eine EXE im Paket liegt...
Da wäre dann eigentlich was anderes zu erwarten.... Eingefügtes Bild


Ich vergebe hier auch nochmal ausdrücklich den Hinweis, dass man solche "fragwürdigen" Inhalte vorher testet, ähnlich wie oben beschrieben. Sandboxie oder VirtualBox. Bitte nicht hemmungslos auf eine EXE klicken und auf dem Hauptsystem starten.

Wenn du wirklich auf Nummer sicher gehen willst, dann installier Windows einfach neu. Anstatt alles lange zu testen.
Viren können sich durchaus gut tarnen (metamorphe, polymorphe Viren).

Überdenke die Folgenden Punkte nochmal:
  • Backup-Konzept deines Rechners
  • Sicherheitskonzept (Firewall)
  • Testumgebung (VMs, Sandboxie)
  • Benutzerkontensteuerung (Admin/Gast/Benutzer)
  • Gründlich überlegen, WAS ich anklicke und WARUM




//Icons einer Exe kann man leicht manipulieren, siehe dazu ResHacker


Dieser Beitrag wurde von Future010 bearbeitet: 24. Juli 2016 - 12:18

Ein(e) Danke(positive Bewertung) für einen guten Beitrag kann nicht schaden ;-) Danke!j Dateien und Ordner Verwaltung by Future010
0

#12 Mitglied ist offline   IXS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.397
  • Beigetreten: 04. Dezember 12
  • Reputation: 225

geschrieben 24. Juli 2016 - 23:10

Was soll die Panikmache?
Die Datei wurde angeklickt und aktiviert. Sofern die UAC aktiv war, sich aber nicht gemeldet hat, ist das so, dass weder am System, noch auf Admin-Ebene,etwas zu ändern versucht wurde. Die Exe hat lediglich einen Ordner entpackt, im Rahmen der zugewiesenen Rechte.
Ob natürlich der Thread-Ersteller da irgendwo Sicherheitsmechanismen vorher deaktiviert hatte, oder die "UAC"-Meldung übergangen hat, muss er selber wissen.
2

#13 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 28. Juli 2016 - 19:18

Auch ohne UAC kann das System bedeutend verseucht werden, siehe Crypto Trojaner. Die brauchen keine Adminrechte.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0