| Autor |
Nachricht |
MPE-FAN
Gast
|
 Verfasst am:
So Apr 26, 2009 10:27 |
  |
Hallo ich bin ein Fan des MyPhoneExplorers. Als ich ihn jetzt auf einem anderen Notebook installieren wollte schlug mein Antivir alarm und gab an folgenden Trojaner gefunden zu haben:
TR/Crypt.ZPACK.Gen
Ist dies bekannt bzw. was hat es damit auf sich? Hat jemand irgendwelche Informationen dazu? |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32025
Wohnort: Tirol
|
| Verfasst am:
So Apr 26, 2009 10:52 |
|
Wenn du MyPhoneExplorer von meiner Seite geladen hast dann ist garantiert kein troyaner drin. Manchmal neigen die AV-Programme zu Fehlalarmen - meistens hilft ein Update der Virendefinition. Ich habe sicherheitshalber die aktuelle Version 1.7.2 noch testen lassen, hier das Ergebnis: http://www.virustotal.com/de/analisis/f8e99d39a87c0be4c090ed539a66f5a4 |
|
|
    |
|
gythreepwood
Gast
|
| Verfasst am:
So Apr 26, 2009 13:46 |
|
habe die selbe Meldung bekommen und mein Antivirus updatet sich regelmäßig.
du solltest schon schauen das du den Fehler weg bekommst ich glaube dir aber es gibt genug Leute die es vom DL abhält. |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32025
Wohnort: Tirol
|
| Verfasst am:
So Apr 26, 2009 15:32 |
|
Ist ja nicht das erste mal dass eine AV-Software schreit und bisher hats immer nur wenige Tage gedauert bis der Fehler auf Seiten der AV-Hersteller behoben wurde.
Selbst wenn ich wollte ist es sehr schwierig sowas zu beheben da ich ja nicht weiss warum die AV-Software schreit. Meistens wird ja nur nach einem bestimmten Byte-Block gesucht und alle anderen Programme die zufällig den Block drin haben sind dann halt auch betroffen. |
|
|
|
|
Brummelchen
Gast
|
| Verfasst am:
So Apr 26, 2009 21:35 |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32025
Wohnort: Tirol
|
| Verfasst am:
So Apr 26, 2009 21:47 |
|
Da gibts nix zu erklären, die Datei ändert die Registry-Berechtigungen weil MyPhoneExplorer sonst auf einigen Rechnern unter XP SP3 nicht funktionierte. Mehr dazu hier: http://www.fjsoft.at/forum/viewtopic.php?t=6141&start=60
Das ist kein Virus, hab ich selbst programmiert.
Naja - warten wir mal ein paar Tage ab - ich bin mir sicher dass das Problem dann wieder verschwunden sein wird.
Erklärungsbedürftig hin oder her: Ihr glaubt doch nicht wirklich dass ein Virenscanner jeden möglichen Schadcode erkennen könnte. Virenscanner erkennen nur die gängigsten Viren. Alle Welt glaubt dass Virenscanner immer unfehlbar sind und korrekt arbeiten -> das ist ein Irrglaube. |
|
|
|
|
Gast
|
| Verfasst am:
Mo Apr 27, 2009 12:35 |
|
Avira hat bei mir für den Installer auch den TR/Crypt.ZPACK.Gen moniert, das ist aber zunächst "eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen."
Der Verdacht eines False Positive ist also zunächst nicht so weit weg, aber das kann am Besten Avria selbst klären. Also habe ich die Datei kurzerhand eingeschickt.
Ergebnis:
| Avira Antwortmail hat Folgendes geschrieben: | Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
25331806 MyPhoneExplorer_S....2.exe 3.76 MB OK
Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25331673 FixPermissions.exe 32 KB FALSE POSITIVE |
|
|
|
|
|
Brummelchen
Gast
|
| Verfasst am:
Mo Apr 27, 2009 15:15 |
|
@FJ - es ist unerheblich, was eine AV-Software erkennt.
Tatsache ist aber, dass dieses selbstgeschrieben Tool im Hintergrund
versucht, wichtige Registry-Schlüssel zu verändern und das ist NO GO.
Da kann man wirklich nur hoffen, dass es beim Fehlalarm bleibt, aber
ich habe wenig Hoffnung eben wegen besagtem Handeln. Persönlich
würde ich das auch nicht mehr runterstufen wollen - dann könnt ja
jedes kleine Scriptkiddie daherkommen und weinen.
BTW was hat Eltima damit zu tun? Ist das ne Erfindung von denen? (der Key) |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32025
Wohnort: Tirol
|
| Verfasst am:
Mo Apr 27, 2009 17:21 |
|
@Gast: Wow, das ging ja schnell mit dem Ergebnis, ich hab da deutlich schlechtere Erfahrungen gemacht.
@Brummelchen:
Nochmal zur Erklärung vom Tool:
Die Kommunikationskomponente SPort.dll hab ich zugekauft (von Eltima). Beim Registrieren legt diese Datei einen Eintrag in HKLM\Software\Licenses ab - was an sich ja gängige Praxis unter Windows ist. Dafür ist dieser Registry-Schlüssel nunmal da. Auf XP hatte bis SP2 dieser Schlüssel die Berechtigung "Jeder" - übrigens auch auf Vista SP1. Beim SP3 wurden die Berechtigungen geändert auf "SYSTEM" - das heisst nichtmal der Admin hatte Zugriff auf die Werte darin - wohl aber kann der Admin die Berechtigung ändern. Das Tool setzt die Berechtigungen damit der Administrator auf diesen Schlüssel zugreifen kann. Also von daher kann eigentlich eh schon nicht viel passieren.
Wegen fehlalarm: Hab ja selbst AntiVir im Einsatz. Die Virendefinition vom 21.04.2009 hat noch nicht darauf reagiert - nach dem Update kam auch bei mir der Alarm. Interessehalber habe ich dann im Sourcecode 2 Codeblöcke verschoben und schon war die Meldung weg. Also eine eindeutiger Fehlalarm. Wenn sich Antivir nämlich dran gestört hätte dass das Tool die Registry-Berechtigung ändert dann wäre der Alarm auch nachher noch gekommen.
| Zitat: | Persönlich
würde ich das auch nicht mehr runterstufen wollen - dann könnt ja
jedes kleine Scriptkiddie daherkommen und weinen. |
Das Scriptkiddie hab ich jetz mal überlesen. Generell ist es doch so dass man immer dem Softwarehersteller (in dem Fall meine Wenigkeit) vertrauen muss. Wenn man das nicht will dann habe ich absolut kein Problem damit -> es zwingt dich niemand mein Programm zu installieren. Ich kann dir garantieren dass ich in meiner Software keine Art von trojaner oder Virus eingebaut hab, wozu auch. Wenn dir das nicht reicht dann ist dir eh nicht zu helfen. |
|
|
|
|
Gast UB
Gast
|
| Verfasst am:
Mo Apr 27, 2009 17:36 |
|
Ich habe heute morgen auch mit großem Unbehagen die Warnung von Antivir bekommen, die Problemdatei entfernen lassen und das Programm vorsorglich deinstalliert und einen zweiten Virencheck gemacht.
Ich kann daher gut die Sorge, die in einigen Posts deutlich wird verstehen.
Allerdings sollte man auch etwas Respekt vor einem, wie ich finde, bemerkenswerten Programmierer haben. Die Bezeichnung "Scriptkiddie" finde ich hier sehr fehl am Platze!
Es scheint ja so zu sein, dass hier wirklich ein Fehlalarm vorlag.
Dennoch würde ich mich freuen, wenn Herr Wechselberger eine Version online stellen könnte, in der der Fehlalarm nicht mehr vorkommt. Wenn ich es richtig verstanden habe, reicht ja eine kleine Modifikation im entsprechenden Programmteil.
Vielen Dank |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32025
Wohnort: Tirol
|
| Verfasst am:
Mo Apr 27, 2009 17:50 |
|
in den nächsten Tagen ist sowieso ein Update geplant - da geht das dann in einem Aufwasch.
Natürlich kann ich auch die Sorgen verstehen die sich die User machen. Es ist halt so dass das in den letzten Jahren glaub ich schon das siebte mal war dass eine AV-Software einen Fehlalarm anzeigt. Es nervt ein wenig - weder ich noch die User können da etwas dafür. Einmal wegen dem Setup, dann wieder wegen MyPhoneExplorer.exe und diesmal eben wegen FixPermissions.exe. Bei größeren Projekten von Microsoft oder Mozilla wird sowas nie passieren ganz einfach deshalb weil die AV-Firma natürlich die gängigsten Programme zuerst durchtestet. |
|
|
|
|
chrk
Gast
|
| Verfasst am:
Mo Apr 27, 2009 20:01 |
|
Sorry, eigentlich wollte ich mich sogar identifizieren, aber ich hatte zwischendurch Spaß mit der Vorschau und den Captchas. Da habe ich abgebrochen und den Beitrag nochmal verfasst.
| FJ hat Folgendes geschrieben: | | @Gast: Wow, das ging ja schnell mit dem Ergebnis, ich hab da deutlich schlechtere Erfahrungen gemacht. |
Ich habe mich auch gewundert. Die Antwort war in weniger als vier Stunden da. Möglich, dass ich nicht der Erste war, der die Datei hochgeladen hat. 
| Zitat: | | Es ist halt so dass das in den letzten Jahren glaub ich schon das siebte mal war dass eine AV-Software einen Fehlalarm anzeigt. Es nervt ein wenig - |
Ich würde das als Benutzer nicht überdramatisieren, schon gar, wenn man so direkt mit dem Finger auf den Entwickler zweigen kann. Die Art und Weise wie heute Malware verbreitet wird und die AV-Programme immer stärker auf Heuristiken setzen müssen erhöht natürlich die Gefahr von Fehlalarmen. Da kann man sich doch mit dem Blick die Foren des Entwicklers und des AV-Herstellers schnell einen Überblick verschaffen. Fehlalarme werden doch meist sehr schnell entlarvt. Für Panik ist später immer noch Zeit genug.
Viele Grüße
Christian |
|
|
|
|
Christian W.
Anmeldedatum: 25.01.2008
Beiträge: 36
Wohnort: Dresden
|
| Verfasst am:
Fr Mai 01, 2009 17:55 |
|
Hi,
bei mir wurde nix erkannt. Ich benutze Kaspersky 2009. Komisch finde ich, dass nur Antivir (angeblich) etwas findet. Das mit den Fehlalarmen ist doch schon ein alter Hut.
Also erstmal abwarten und Tee trinken.
MfG
Chrille |
_________________
MPE 1.8.3
USB-Cable/W-LAN
Windows 7 Home Premium 64bit
K800i/C510/Sony Xperia S |
|
|
|
|
|
