Ich würde gern mal eine offizielle Verlautbarung zu dem Thema Trojaner im DLH machen. Eigentlich wollte ich nicht darüber sprechen, aber die Anschuldigungen und Nachfragen sind in letzter Zeit stark angestiegen, weil diverse Anti-Viren- Programme immer neue "Trojaner" in den DLH-Modulen finden. Ich habe im Forum von DLH.Net einen Thread dazu eröffnet, den ich hier einmal wiedergeben werde. Dieser Text kann natürlich nur informieren, denn schließlich befindet er sich IN dem Modul, das eventuell beanstandet wird. Das ist so, als ob man den Entpacker für eine Datei in die gepackte Datei einbindet. Ich möchte hier mal die aktuellen Fundstellen erklären, also los geht es.
- Trojan.Keylogger.HotKeysHook.A - die berühmteste Falschmeldung
Vor einigen Jahren wurde diese Datei von der Virensoftware AvP fälschlicherweise als Trojaner klassifiziert, nach zwei Tagen aber wieder entfernt (auf meine Intervention hin übrigens). Da viele kleinere Antivirenprogramme einfach deren Datenbank übernehmen, verbreitete sich diese Mismeldung rasend schnell, leider haben nicht alle Programme das Virenmuster wieder entfernt (die meisten haben es allerdings getan). Dummerweise haben gerade in letzter Zeit einige Scanner die Meldung wieder aufgenommen. Also hier noch mal ganz deutlich: Die weltweit am weitesten verbreitete Trainer-Erstellungs-Software TMK Trainer Maker Kit 1.5 benutzt einen Algorithmus, der aussieht wie ein Keylogger. Ist ja auch irgendwie einsichtlich, denn letztlich machen Trainer nichts anderes als Tastenanschläge in ein Programm zu übertragen. Ich vermute mal, jeder, der schon mal einen Trainer dieser Art benutzt hat, hat die dazugehörige Datei H@tKeysH@@k.DLL im Windows/System32-Ordner liegen. Sieht piratenmäßig aus, ist aber kein Sicherheitsrisiko.
Z. Zt wird diese Fehlermeldung verbreitet von AntiVir, Bitdefender, Ad-Aware
- TR/Interlac.10.B
Wir gehen bisher ganz fest davon aus, dass es sich bei den Funden in den Trainern NICHT um den angezeigten Trojaner handelt, und zwar aus folgenden Gründen:
- Der angezeigte Trojaner wurde im November 2004 erstmals entdeckt, wird aber von AntiVir auch in Dateien entdeckt, die aus dem Juni 2003 stammen. In der heutigen Zeit ist es nicht anzunehmen, dass ein Trojaner jahrelang unentdeckt bleibt.
- Der Trojaner wird in Dateien entdeckt, die von uns selbst programmiert worden sind, also 100-prozentig virenfrei sind.
- Der echte Trojaner würde von einer Vielzahl von Programmen gefunden werden, die man hier: http://www.viruslist.com/de/viruses/encyclopedia?virusid=40514 einsehen kann. Keines der genannten Programme findet den Trojaner in den vermeintlich verseuchten Dateien.
- In mutigen Selbstversuchen wurde keiner der einem Interlac.10.b-Trojaner zugeschriebenen Effekte ausgelöst.
Wir haben AntiVir von unseren Erfahrungen Meldung gemacht, bisher haben wir keine Stellungnahme bekommen.
Z. Zt wird diese Fehlermeldung verbreitet ausschließlich von AntiVir.
- Bck/Delf.NJ
Dieser angebliche Trojaner soll in einem uralten Modul vom DLH98 gefunden werden, in 0998.dlm.
Es handelt sich definitiv nicht um den angezeigten Trojaner, und zwar aus folgenden Gründen:
- Bis jetzt wurde die Datei von keinem Virenscanner als kontaminiert gemeldet und jetzt, sieben Jahre nach der Erstellung des Trainers, soll sie plötzlich verseucht sein?
- Der angebliche Trojaner wird in einer Datei entdeckt, die von Freunden extra für DLH.Net programmiert wurde. DLH.Net hat diese Datei ohne Umwege direkt erhalten.
- Bei dem angeblich befallenen Programm handelt es sich um einem sog. Freezer, der sich resistent in das Memory setzt und dann bei Bedarf andere Dateien nachlädt. Das könnte fälschlicherweise als Trojaner interpretiert werden.
- Der echte Trojaner würde von einer Vielzahl von Programmen gefunden werden, die man hier: http://www.viruslist.com/de/viruses/encyclopedia?virusid=50955 einsehen kann. Keines der genannten Programme findet den Trojaner in der vermeintlich verseuchten Datei.
- Keine Virendatenbank beschreibt den Bck/Delf.NJ, es ist also zu vermuten, dass es sich hierbei - wie so oft - nur um eine Vorsichtsmeldung handelt.
Z. Zt wird die Meldung bei der Datei STARV10.exe aus dem Modul 0998 (Trainer Star Command Deluxe vom Sept.1998) verbreitet von Panda Platinum Internet Security 2005.
- Trojan Horse
Seit dem Modul 0205 attestiert uns die Symantec Norton Internet Security ein 'Trojan Horse' in mehr als 50 Trainern.
Den Virus/Trojaner 'Trojan Horse' gibt es eigentlich gar nicht, wer sich gern mal die Infosite dazu bei Symantec ansehen will : http://securityresponse.symantec.com/avcenter/venc/data/trojan.horse.html. Beachtet nun hier die Bereiche Damage (Schaden) und Distribution (Verteilung), überall steht n/a, das bedeutet so viel wie nicht vorhanden/nicht bekannt. Trojan Horse ist wieder mal eine reine Panikmache, weil vermutlich in den Trainern, mal wieder eine Code-Struktur gefunden wurde, die "wie ein Trojaner o. Ä. aussehen könnte". Ist aber definitiv kein Virus/Trojaner. Keiner der angesehenen anderen Virenscanner findet hier auch nur den Fitzel eines Trojaners.
Z. Zt wird diese Irrmeldung verbreitet von Symantec Norton Internet Security und wird zum Beispiel in allen Trainern der Gruppe CHEATERS (cht-*.exe) gefunden.
- PCK/MEW
Wenn man bei bestimmten Antivirenprogrammen alle möglichen Heuristiksuchen aktiviert, dann zeigen sie auch Codes als möglichen Trojaner oder Virus an, die sie einfach nicht verstehen oder wo sie den Code nicht entpacken können. Einige Programmierer benutzen ein Programm namens MEW, um ihren Code zu optimieren bzw. zu verbergen. Natürlich bedeutet das NICHT, das ein optimierter Code auch ein Virus/Trojaner sein muss. Wer sich über MEW informieren will, kann das unter http://northfox.uw.hu/ tun (im Augenblick nicht erreichbar). Leider ist MEW in der Trainermachergilde weit verbreitet.
Z. Zt wird diese unnötige Panik (unter Umständen) verbreitet von AntiVir und Avira.
- Trainer der Gruppe PIZZA/PIZZADOX
Ab und zu enthalten die Trainer dieser Gruppe Signaturen, die von einigen Virenscannern beanstandet werden, sie erscheinen dann als Worm.Mytob.FN (ClaimAV), Backdoor.Win32.Ciadoor.N (Ikarus) oder W32/Suspicious_M.ge (z.B. Sybari).
DLH.Net versichert, dass diese Trojaner NICHT in den Trainern vorhanden sind. Vermutlich sehen die benutzten Codes wieder nur so aus, als würden sie ein Hintertürchen aufmachen. Nun ja, das tun sie auch ... im Spiel, aber nicht im Betriebssystem.
---
Ich weiß, es ist ganz schwierig, einer Fundanzeige bei einem Virenscan zu misstrauen. Hey, wem kann man noch trauen, wenn nicht seinem Virenscanner? Aber es ist nun mal so, dass es auch unter den Virenprogrammen einen Wettbewerb gibt und das Proggi, das die meisten Viren erkennt, hat nun mal gute Karten beim Käufer. Webseiten wie DLH.Net haben überhaupt keinen Einfluss darauf, was als Trojaner deklariert wird. Manchmal bekommen wir recht, häufig aber bleiben wir ungehört.
Deswegen danke ich euch dafür, dass ihr weiter aufmerksam seid, was wir euch vorsetzen und mailt mir ruhig an bw@dlh.net, wenn ihr etwas findet, ich würde mich allerdings freuen, wenn ihr euch nicht im Tonfall vergreifen würdet, was leider häufig nicht der Fall ist. Bei einer Millionen User im Monat nehmen wir unsere Verantwortung euch gegenüber schon sehr ernst, also tut bitte nicht so, also würden wir absichtlich oder fahrlässig handeln. Das hat niemand in unserer Redaktion verdient.
Wenn jemand mal testen will, ob die Meinung des verwendeten Virenscanners von anderen Programmen geteilt wird, der lade seine Datei hier hoch:
http://www.virustotal.com
Ich werden den offiziellen Thread zum Thema im Forum immer weiter aktualisieren, wer daran Interesse hat, zu finden ist er hier:
