molily: Angeblicher Virus in SELFHTML - Bitte um Test mit AntiVirenKit

Hallo,

uns liegt ein Bericht vor, dass der Virenscanner G DATA AntiVirenKit 2007 den Virus »Trojan-Downloader.VBS.Small.cw« in der SELFHTML-Download-Version meldet.

Es handelt sich konkret um die (m.E. harmlose) Datei http://de.selfhtml.org/javascript/objekte/anzeige/unabhaengig_unescape.htm.

Hat jemand das besagte Anti-Virus-Programm (möglicherweise auch ältere Versionen) und könnte den Bericht überprüfen? Wird bei der obigen Datei eine Virusmeldung angezeigt? Wie sieht es beim Download-Archiv aus?

Ich persönlich vermute einen Fehler wie neulich bei Kaspersky. Wenn ich das richtig sehe, benutzt AntiVirenKit u.a. die Kaspersky-Suchengine (»KAV-Engine«). Wer also Kaspersky besitzt, möge bitte auch einmal die SELFHTML-Dokumentation prüfen.

Vorab danke für die Hilfe!

Mathias
Redaktion SELFHTML

  1. hi,

    beachte bitte, dass es auf dem _Übertragungsweg_ möglich ist, Trojaner in HTML-Content einzubauen, der vom Ursprung her frei von Trojanern ist.

    Das zugehörige Protocol, was das ermöglicht, heißt ICAP - Internet Content Adaption Protocol und wird von friedliebenden Menschen normalerweise dazu benutzt, Trojaner (Viren...) von Webseiten zu entfernen, bevor diese Seiten weiter an den PC der Mitarbeiter einer Firma gehen.

    Mehr dazu auf:

    http://rolfrost.de/cgi-bin/blog.cgi?list=1165657818

    --roro

    1. Moin!

      beachte bitte, dass es auf dem _Übertragungsweg_ möglich ist, Trojaner in HTML-Content einzubauen, der vom Ursprung her frei von Trojanern ist.

      Sowas ist immer möglich, klar. Aber nicht unbedingt wahrscheinlich. Insbesondere nicht in der geschilderten Konstellation. Wieso sollte sonst ausgerechnet das SELFHTML-ZIP, und dort irgendeine Datei, infiziert werden - und sonst keinerlei Internet-Datenverkehr?

      Das zugehörige Protocol, was das ermöglicht, heißt ICAP - Internet Content Adaption Protocol und wird von friedliebenden Menschen normalerweise dazu benutzt, Trojaner (Viren...) von Webseiten zu entfernen, bevor diese Seiten weiter an den PC der Mitarbeiter einer Firma gehen.

      [ ] Du hast verstanden, wozu ICAP da ist.

      Mehr dazu auf:

      Da gibts nicht mehr zu ICAP. Da gibts nur Getrolle.

      http://rolfrost.de/cgi-bin/blog.cgi?list=1165657818

      Fängst du schon wieder an, sinnlose Links auf deine Site zu setzen? Lass es lieber.

      - Sven Rautenberg

      --
      "Love your nation - respect the others."
    2. Hallo,

      http://rolfrost.de/cgi-bin/blog.cgi?list=1165657818

      über die mehrfach in den Nachrichten erwähnten Pläne der Ermittlungsbehörden, auch private PCs unbemerkt vom Internet aus zu durchsuchem habe ich auch schon gegrübelt.

      Ich habe mich gefragt, wie die das wohl anstellen wollen. Denn egal was sie versuchen, es braucht immer eine Serverapplikation auf dem untersuchten PC, die auch die Spionage-Anfragen beantwortet. Im Normalfall ist eine solche nicht vorhanden - man muss also dafür sorgen, dass entsprechende Software existiert und auf dem Zielrechner aktiv ist.

      Natürlich könnte man sich mit dem Hersteller des weltweit verbreitetsten PC-Betriebssystems arrangieren und mit dem vereinbaren, dass eine entsprechende Funktion als "undocumented Feature" implementiert wird. Im Hinblick auf die Millionen von PCs, die über einen NAT-Router mit integrierter Firewall und selektivem Port Forwarding am Netz sind, ist das aber irgendwie ein sinnloses Unterfangen. Abgesehen davon würde es auch nur diejenigen treffen, die eine aktuelle, mit der gewünschten Spionagesoftware versehenes Betriebssystemversion verwenden - von der stetig wachsenden Zahl der Open-Source-Anhänger (Linux) ganz zu schweigen.

      Letztendlich reduziert sich der große digitale Lauschangriff also wieder auf die kleinen DAUs, die ein Windows in seiner Defaultinstallation betreiben und keine großen Anstrengungen hinsichtlich der Absicherung ihres Systems unternehmen. Denn wer sich wenigstens minimal um die Sicherheit seines Systems kümmert, der wird solche Angriffe ebenso abzuwehren wissen wie die von böswilligen Hackern. Ob Malware bereits auf dem Server des Anbieters als solche existiert oder auf dem Übertragungsweg manipuliert wird (mit Techniken wie z.B. ICAP), ist dabei schnurz. Entscheidend ist, was beim Client ankommt - und das muss ein wie auch immer geartetes Schutzkonzept in jedem Fall abwehren können.

      So long,
       Martin

      --
      Most experts agree: Any feature of a program that you can't turn off if you want to, is a bug.
      Except with Microsoft, where it is just the other way round.
      1. hi Martin,

        Letztendlich reduziert sich der große digitale Lauschangriff also wieder auf die kleinen DAUs, die ein Windows in seiner Defaultinstallation betreiben und keine großen Anstrengungen hinsichtlich der Absicherung ihres Systems unternehmen. Denn wer sich wenigstens minimal um die Sicherheit seines Systems kümmert, der wird solche Angriffe ebenso abzuwehren wissen wie die von böswilligen Hackern. Ob Malware bereits auf dem Server des Anbieters als solche existiert oder auf dem Übertragungsweg manipuliert wird (mit Techniken wie z.B. ICAP), ist dabei schnurz. Entscheidend ist, was beim Client ankommt - und das muss ein wie auch immer geartetes Schutzkonzept in jedem Fall abwehren können.

        Darüber bin ich auch noch am Grübeln.

        Ein Trojaner (Spyware) kommt unbemerkt rein. Es liegt das Interesse daran, zu automatisieren, dass der nach seiner Schnüffelei nichts nach draußen senden kann.

        Großes Hmm. Wie der rauswill, weiß ja keiner. Clever wäre TCP / Port 80, denn das ist ohnehin freigeschaltet.

        Manche Trojaner sind jedoch so doof, dass sie über FTP(HTTP) / Port 11111? irgendwohin senden wollen. Naja.

        Das Problem sind die Ports die ohnehin freigeschaltet sind.

        Hier hilft evntl. eine "Personal Firewall" also eine FW, die lokal auf dem PC läuft und in der Konfiguration genau die "Anwendung" prüft, die Daten per TCP versenden will.

        Aber genau hier haben wir auch eine Crux: Eine Personal FW ist ein lokaler Dienst welcher von einem intelligenten Trojaner abgeschaltet werden kann.

        --roro

        1. Hallo Rolf,

          [...] Entscheidend ist, was beim Client ankommt - und das muss ein wie auch immer geartetes Schutzkonzept in jedem Fall abwehren können.
          Darüber bin ich auch noch am Grübeln.
          Ein Trojaner (Spyware) kommt unbemerkt rein.

          ach tatsächlich? Wie kommt der denn rein? Ich glaube nicht, dass der bei mir unbemerkt reinkäme. Aber nehmen wir mal an, das würde doch gelingen.

          Es liegt das Interesse daran, zu automatisieren, dass der nach seiner Schnüffelei nichts nach draußen senden kann.

          Richtig.

          Großes Hmm. Wie der rauswill, weiß ja keiner. Clever wäre TCP / Port 80, denn das ist ohnehin freigeschaltet.

          Was hilft's? Die Firewall würde feststellen, dass ein nicht autorisiertes Programm eine Internetverbindung aufbauen will, und den Versuch abblocken.
          Es sei denn, der Trojaner wäre so schlau programmiert, dass er einen der ausdrücklich erlaubten Browser fernsteuert. Dann, und nur dann, hätte er bei mir eine Chance.

          Hier hilft evntl. eine "Personal Firewall" also eine FW, die lokal auf dem PC läuft und in der Konfiguration genau die "Anwendung" prüft, die Daten per TCP versenden will.

          Sag' ich doch. ;-)

          Aber genau hier haben wir auch eine Crux: Eine Personal FW ist ein lokaler Dienst welcher von einem intelligenten Trojaner abgeschaltet werden kann.

          Ja, richtig. Dazu muss er aber genau wissen, *welche* Firewall da läuft und wie man sie abschaltet. Ich will nicht in Abrede stellen, dass man ihm so viel "Intelligenz" mitgeben könnte - deshalb verweise ich wieder auf Punkt 1: Wie soll der überhaupt reinkommen, wenn nicht gerade bei einem User, der instinktiv auf alles klickt, was klickbar ist?

          Ciao,
           Martin

          --
          Faulheit ist, mit dem Cocktailshaker in der Hand auf das nächste Erdbeben zu warten.
  2. Wer also Kaspersky besitzt, möge bitte auch einmal die SELFHTML-Dokumentation prüfen.

    Hallo,
    falls es hilfreich ist: mein SELFHTML-Download vom 07.03.2006 wird von Kaspersky (Signaturen von heute 21:40 h) als definitiv sauber befunden.
    Kann ich sonst noch was tun?
    Best wishes, imho_tep

    1. Hallo imho_tep,

      falls es hilfreich ist: mein SELFHTML-Download vom 07.03.2006 wird von Kaspersky (Signaturen von heute 21:40 h) als definitiv sauber befunden.

      Mein Download von heute ebenfalls - Kaspersky 6.0.0.299: Siganturen 19.12.06

      Mit freundlichem Gruß
      Micha

      --
      LeagueEditor JavaScript kostenlose Ligaverwaltung || richtig Messen will gelernt sein
  3. Hi,

    uns liegt ein Bericht vor, dass der Virenscanner G DATA AntiVirenKit 2007 den Virus »Trojan-Downloader.VBS.Small.cw« in der SELFHTML-Download-Version meldet.

    Es handelt sich konkret um die (m.E. harmlose) Datei http://de.selfhtml.org/javascript/objekte/anzeige/unabhaengig_unescape.htm.

    nicht nur Deiner Meinung nach. Wie ich inzwischen im Verteiler gemailt hatte:

    Möglicherweise stört sich der Virenscanner an der Zeile:
      var Beispiel = "%53%74%65%66%61%6E";
    unescaped kommt da ein harmloser "Stefan" raus. ;-)

    freundliche Grüße
    Ingo