Hi,
ich habe letztens eine Email mit einer exe datei von einem Bekannten bekommen.
Es sieht aus als wäre das eine schockwave animation als standalone in einer exe, aber irgendwie trau ich der Sache nicht. Ich habe sie jetzt schon einmal unter linux mit wine laufen lassen und die animation is auch recht schön, eine Weihnachtskarte bei der man auf verschiedene Dinge klicken kann. Als erstes hab ich mit dem Dateinamen gegoogelt und jemand meinte die Datei sei sicher weil Norton hat nichts angezeigt :t *thumbsup*. Weiter hab ich mir noch mit strings die strings anzeigen lassen da war aber auch nichts besonderes dabei.

Was kann ich also noch machen ? Disassemblieren (kann assembler nur im Ansatz) ?
Es würde ja schon reichen wenn ich wüsste, dass z.B. ein Socket benutzt wird, da dass ja eigentlich nicht sein sollte.

paranoia?

Disassemblieren ist die einzige sichere Methode. Das wird dir aber wahrscheinlich zu aufwendig sein.
Du kannst dir natürlich auch die Importe der Datei ansehn (z.B. mit PEview http://www.magma.ca/~wjr/); wenn das Programm Funktionen verwendet, die eine Animation nicht brauchen sollte, weisst du schon mal dass etwas nicht stimmt. Wenn du in den Imports nichts findest, heißt das aber nichts.
Oder du kannst das Programm auf einem isolierten Rechner unter einem Debugger laufen lassen und Breakpoints auf verdächtige Funktionen setzen. Damit hast du schon gute Chancen, ungewöhnliche Aktivitäten zu bemerken. Absolute Sicherheit erreichst du damit aber auch nicht.
Mehr Informationen dazu findest du in http://www.zeltser.com/sans/gcih-practical/revmalw.html

Du musst halt überlegen, wieviel Arbeitsaufwand du in das überprüfen einer simplen Animation stecken willst. Wahrscheinlich ist es sinnvoller, verdächtige Programme im Zweifelsfall einfach zu löschen, anstatt sie zu analysieren.

http://www.zeltser.com/sans/gcih-practical/revmalw.html
http://www.securityfocus.com/infocus/1780
http://www.cacs.louisiana.edu/cybersecurity/malware-tutorial/
http://www.research.ibm.com/antivirus/SciPapers.htm
http://www.research.ibm.com/antivirus/SciPapers/VB2000INW.htm

http://www.lurhq.com/technical.html

@ regen : Paranoia gemischt mit zuviel Zeit ...
und
thx für die Antworten und Links ich werd mir das mal genauer anschaun auch wenn es sich nicht wirklich rentiert ist es doch ein spannendes Thema und sicher nicht vergeudete Zeit.

Ich hab es nie versucht, aber kann man die exe nicht in Flash reimportieren?
Wenn ja, halte ich es für viel versprechend, jenes zu versuchen;
um dann nach erneutem export als exe, einen binär vergleich mit dem original zu machen.
Evt. stellst du beim import schon fest, das Flash einiges in der Datei nicht versteht.
Wenn ja erzählt es dir auch ungefähr was es ist. Vergewisser dich aber erst,
wie problemlos ein solcher Import(wenn es denn überhaupt geht) verläuft.

Ich hoffe das bringt dich ein Stück weiter.

Hallo und Guten Morgen, seh mal hier

http://www.otrint.de/stories/085virus.html

Mfg Profi