Ist diese Datei gefährlich?
- Ersteller SenfRakete
- Erstellt am
UNDERESTIMATED
Banned
- Registriert
- März 2012
- Beiträge
- 8.110
Reichen dir die Links und Videos nicht? 
Kurz: Ein Remote Administration Tool
Kurz: Ein Remote Administration Tool
A
askling
Gast
interessant wäre auch woher du das hast. vielleicht mal das erstellungsdatum usw. angucken und überlegen was in dem zeitraum los war?
ich würde die datei auch ruhig erneut bei VT hochladen, vielleicht wird sie mittlerweile erkannt...
du könntest auf VT auch mal in den Tab "verhaltens informationen" gucken, bin gespannt.
ich würde die datei auch ruhig erneut bei VT hochladen, vielleicht wird sie mittlerweile erkannt...
du könntest auf VT auch mal in den Tab "verhaltens informationen" gucken, bin gespannt.
Zuletzt bearbeitet von einem Moderator:
- Registriert
- Juli 2014
- Beiträge
- 138
C
carom
Gast
Die Checksumme vom geposteten Virustotal-Link entspricht der Summe von 'RegSvcs.exe', was laut dieser Seite hier Teil von Windows sein soll. Dem muss man ja keinen Glauben schenken (kann besagte Datei nicht finden), aber wer legt .NET-basierende malware (seltsam) völlig unverschleiert mit offensichtlichem Namen nahezu direct in C: ab (nochmal seltsam), wobei die Metadaten der .exe penibel mit den Angaben von MS übereinstimmen? Laut hier gibt es diese Datei seit mindestens September '14 und sie wird trotzdem nicht erkannt?
Du könntest die Datei mal packen und mir schicken wenn du Lust hast, werde dann in einer isolierten Linux-VM ein Auge drauf werfen die nächsten Tage. Würde mal behaupten, dass die Anwendung selbst harmlos ist (möglicherweise wirklich von MS), aber entsprechend parametrisiert eben Programme wie Malware laden/installieren kann... sagt ja der Name 'RegSvcs' schon.
Du könntest die Datei mal packen und mir schicken wenn du Lust hast, werde dann in einer isolierten Linux-VM ein Auge drauf werfen die nächsten Tage. Würde mal behaupten, dass die Anwendung selbst harmlos ist (möglicherweise wirklich von MS), aber entsprechend parametrisiert eben Programme wie Malware laden/installieren kann... sagt ja der Name 'RegSvcs' schon.
Zuletzt bearbeitet:
- Registriert
- Juli 2014
- Beiträge
- 138
Die Sache wird immer komischer...
Die Datei habe ich schon aus dem Autorun entfernt, bis jetzt wäre mir noch nichts aufgefallen. Wieder erstellt hat sich das ganze auch nicht.
Die Datei habe ich schon aus dem Autorun entfernt, bis jetzt wäre mir noch nichts aufgefallen. Wieder erstellt hat sich das ganze auch nicht.
Zuletzt bearbeitet:
C
carom
Gast
Mach bitte ein PW auf die Zip und schick mir das per PM.
e: also möchte mich nicht zuweit aus dem Fenster lehnen, aber die Datei für sich betrachtet ist mit ziemlicher Sicherheit ungefährlich und von MS selbst. Dort sind viele Funktionalitäten aus dem System.EnterpriseServices Namespace definiert, welche auch auf MSDN dokumentiert sind.
Das Teil kann aber Assemblies installieren und ist über die Konsole parametrisierbar. Gut möglich, dass es benutzt worden ist, um die Malware selbst einzuschleusen. Die Datei hat in dem genannten Verzeichnis auch nichts verloren.
Im Endeffekt kann ich dir nur sagen, dass nach wie vor nicht klar ist, was mit deinem System los ist. Die server.exe ist aber zumindest nicht der RAT server. Wenn weiterhin keine Scanner anschlagen, dann wäre mir wohl nicht mehr wohl mit der Installation (im anderen Fall eigentlich auch nicht..).
e: also möchte mich nicht zuweit aus dem Fenster lehnen, aber die Datei für sich betrachtet ist mit ziemlicher Sicherheit ungefährlich und von MS selbst. Dort sind viele Funktionalitäten aus dem System.EnterpriseServices Namespace definiert, welche auch auf MSDN dokumentiert sind.
Das Teil kann aber Assemblies installieren und ist über die Konsole parametrisierbar. Gut möglich, dass es benutzt worden ist, um die Malware selbst einzuschleusen. Die Datei hat in dem genannten Verzeichnis auch nichts verloren.
Im Endeffekt kann ich dir nur sagen, dass nach wie vor nicht klar ist, was mit deinem System los ist. Die server.exe ist aber zumindest nicht der RAT server. Wenn weiterhin keine Scanner anschlagen, dann wäre mir wohl nicht mehr wohl mit der Installation (im anderen Fall eigentlich auch nicht..).
Zuletzt bearbeitet:
