Sagt mal.
Versteht sich jemand auf ne Analyse von verseuchten Exe-Files? Ich hab hier zwei, angeblich ein Rootkit. So ganz können wir uns die Herkunft nicht erklären.

Leider versteht hier auch niemand was von nem Debugen oder dergleichen. Ich habs unter Linux geladen und mir angesehen. Ich komme da weder weiter noch finde ich Möglichkeiten vielleicht was zu sehen.
Jotti 11 von 14, Gmail wills gar nicht erst versenden :D, Virustotal 70% oder so.

Unter Windows (10) darf ich die Zip gar nicht erst öffnen, die wird sofort in Quarantäne gestellt :biggrin:

Hat jemand nen Tipp wie ich unter Mint ggfs weiter komme?

VG

Wenn du nicht auf die Schnelle IDA oder Ghidra zum Reverse Engineeren lernen willst, dann würd ich ne VM aufsetzen, Defender und so ausmachen und dann die Datei starten. Vorher nen Snapshot gemacht kann man dann nachgucken, was sich verändert hat.
Es kann aber sein, dass die in ner VM nichts ausrichten, weil das ja oft zum untersuchen so gemacht wird. Also am sichersten nen Computer ohne Internet neu Aufsetzen, Image ziehen, Exe starten, neues Image ziehen und vergleichen.

Was willst du denn überhaupt wissen? Meinst du, das war ein gezielter Angriff auf euch?

Wir wissen es nicht genau. Wir haben alte Hardware veräßert und da steckte der Stick angeblich im System. Passieren kann da an sich nichts da Linux ;), aber seltsam ist das durchaus.

Wir haben durchaus einen "Verdacht", der gar keiner wäre. Denn unsere Lieferant bietet Services an die z.B. über USB Sticks laufen. Hier wäre es nicht unüblich das ggfs Scanner anspringen weil z.B. ein lokaler FTP mit Upload aufgebaut wird. hatten wir schon, war halt nix.

Ich hab jetzt noch nicht so ganz verstanden, wass du willst. Ihr habt ein altes System gekauft und da war ein USB Stick drin? Oder ihr habt es verkauft, was interessiert dann der USB Stick? Oder seid ihr Verdächtigt, verdächtige Systeme zu verkaufen?

Du kannst zu 99,99% davon ausgehen, dass dein Linux (Desktop) System über manipulierte USB Sticks angreifbar ist. Es muss ja nur in einem einzigen Treiber, der automatisch geladen wird ein passender Fehler stecken. Warum kann ich nochmal Minix Dateisysteme Mounten? Reiser, HFS+, JFS uvm. mal abgesehen von allen Treibern für WIFI und was es sonst noch alles für USB gibt...

Ich denke mit Linux bist du ähnlich sicher, wie mit Windows bei deaktiviertem Autorun und am besten auch noch deaktivierter Dateivorschauerzeugung. Dennoch fühle ich mich sicherer, weil ich mit Linux nicht die Zielgruppe von 99% der Viren bin. Wenn du aber in ner Firma arbeitest, schützenswerte Geheimnisse hast und vergleichsweise bekannt ist, dass ihr Linux verwendet, dann würde ich mich nicht sooo sicher fühlen.