#1
Normale Virenscanner und Anti-Trojanertools arbeiten mit Signaturen um aufgrund der Physiologie der Schädlinge diese zu erkennen. Sweeper macht es anders: Dieses Tool analysiert Dateien auf API-Ebene.
Was bedeutet das?
Sweeper schaut sich an, welche Systemrufe die Dateien ausführen sollen. Er schlägt Alarm, wenn beispielsweise WinSock gerufen wird, das Programm als Server fungieren kann, oder Banner aufruft. Das sind nur ganz wenige Bespiele, was das Programm finden kann.
Beispiel:
Eine Datei aus dem Homebankingprogramm Wiso Mein Geld:
libeay32.dll has the ability to connect to remote machines and pass them data. If you do not trust this application to pass data from your machine to remote machines then you should disable it.
libeay32.dll has the ability to serve data to remote machines. While an attacker only needs to be able to send data, serving data allows them to actively watch your every keystroke in real time, and is a favorite of attackers. If You do not trust this application to pass data from your machine to remote machines then you should disable it.
libeay32.dll version information: No version information available.
Try searching on libeay32.dll to see what it may be: Right click the filename and select "Look it up on Web" Double click filename to go to its' directory. (This will not run the file). Select an API in the boxes to look them up on the web.
Natürlich handelt es sich hierbei um eine gewollte Funktionalität. Mit diesem Tool hat man ein sehr mächtiges Werkzeug zur Verfügung um suspekte Dateien zu untersuchen - man muß aber auch wissen was man macht!
Was bedeutet das?
Sweeper schaut sich an, welche Systemrufe die Dateien ausführen sollen. Er schlägt Alarm, wenn beispielsweise WinSock gerufen wird, das Programm als Server fungieren kann, oder Banner aufruft. Das sind nur ganz wenige Bespiele, was das Programm finden kann.
Beispiel:
Eine Datei aus dem Homebankingprogramm Wiso Mein Geld:
Sweeper Analysis Report - filename:
WISO\Mein Geld\libeay32.dll
score:
106
libeay32.dll has the ability to connect to remote machines and
pass them data. If you do not trust this application to pass data from
your machine to remote machines then you should disable it.
libeay32.dll has the ability to serve data to remote machines.
While an attacker only needs to be able to send data, serving data allows
them to actively watch your every keystroke in real time, and is a favorite of attackers. If You
do not trust this application to pass data from your machine to remote
machines then you should disable it.
libeay32.dll version information:
No version information available.
Try searching on libeay32.dll to see what it may be:
Right click the filename and select "Look it up on Web"
Double click filename to go to its' directory. (This will not run the file).
Select an API in the boxes to look them up on the web.
Natürlich handelt es sich hierbei um eine gewollte Funktionalität. Mit diesem Tool hat man ein sehr mächtiges Werkzeug zur Verfügung um suspekte Dateien zu untersuchen - man muß aber auch wissen was man macht!
Site:
http://members.cox.net/osioniusx/
screenshots:
http://members.cox.net/osioniusx/scanBo2kdir.jpg
http://members.cox.net/osioniusx/scoring.jpg
http://members.cox.net/osioniusx/basicView.jpg
download:
http://members.cox.net/osioniusx/Sweeper.exe
Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...