Druckversion des Themas

Geschrieben von: Markus 17.09.2005, 01:02

Hallo,

zwecks Information, und da der Hersteller nicht auf meine Mails reagiert, habe ich es bereits in einigen Foren gepostet (Chip, PC-Welt, onlinekosten.de,...)

Auf der Webseite des Mainboardherstellers "American Megatrends" ist ein dort zum Download angebotenes Diagnosetool offensichtlich mit dem PE-Virus Parite.B infiziert.

Ich nenne zunächst einmal den Hersteller bzw. die Webseite, jedoch mit der ausdrücklichen Warnung (an ggf. unerfahrene Leser), von dort erstmal nichts herunterzuladen, geschweige denn auszuführen!

American Megatrends
-> h**p://www.ami.com

Es betrifft das Tool "AMI Motherboard Identification Utility", mbid14.exe.

Geschrieben von: Yopie 17.09.2005, 02:52

Danke für die Meldung!

Ich bin ja skeptisch, wenn ich so eine Meldung lese, aber das Jotti-Ergebnis spricht für sich:

Scanner results
AntiVir
Found W32/Parite
ArcaVir
Found W95.Parite.B
Avast
Found Win32:Parite
AVG Antivirus
Found Win32/Parite
BitDefender
Found Win32.Parite.B
ClamAV
Found W32.Parite.B
Dr.Web
Found Win32.Parite.2
F-Prot Antivirus
Found W32/Parite.B
Fortinet
Found W32/Parite.B
Kaspersky Anti-Virus
Found Virus.Win32.Parite.b
NOD32
Found Win32/Parite.B
Norman Virus Control
Found W32/Pinfi.A
UNA
Found Win32.Parite.b
VBA32
Found Win32.Parite.B

Krass!

Geschrieben von: christian4u2 17.09.2005, 07:34

Wollte auch mal nachschauen ob mittlerweile auf bestimmt schon vermehrt eintrudelnde Mails mit Hinweisen auf den Virus reagiert wurde. Aber sobald ich auch nur den download antippe fängt KAV an zu meckern.
Ist schon verwunderlich das nicht schneller auf solche Meldungen reagiert wird!
Aber vielleicht sind die Herren schon seit Freitag 16.30 im Wochenende...

Geschrieben von: rock 17.09.2005, 09:12

wahnsinn:
http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=12&t=006564

Norton2005 klescht schon beim downloaden was aus den Offlineinhalten, die exe ist dann scheinbar uaber aber vielleicht kaputt, das ergebnis der datei so wie sie mit Norton downgeloadet wurde ist bei virustotal dann sauber!

das heisst man holt sich mit dem download das ding bereits auf den rechner!

Geschrieben von: Markus 17.09.2005, 09:44

Naja, aktiv würde der Schädling erst werden können, wenn man diese Datei auf dem System nach dem Herunterladen ausführen würde.

Geschrieben von: Markus 17.09.2005, 09:46

Ja, ich bin immer noch etwas skeptisch, aber nichts desto weniger muss das geprüft und ggf. entsprechend reagiert werden.

Allerdings erfolgte bis dato noch nicht einmal eine Antwort.

Ich hatte das gestern auch mal an heise weitergeleitet, die haben auch keine Rekation erhalten. Nun wird es wohl eine News dazu geben. Und dann wird hoffentlich reagiert.

Geschrieben von: Jens1962 17.09.2005, 09:59

Die ist nach dem Norton-Eingriff sauber und funktioniert.

Geschrieben von: Markus 17.09.2005, 10:05

Du hast diese Datei aber hoffentlich nicht auf einem Produktivsystem ausgeführt?

Geschrieben von: Jens1962 17.09.2005, 10:42

no risk, no fun

Ich nehme mal an, Du wolltest davor unbedingt warnen, diese Datei auf einem Produktivsystem auszuführen. Da ich auch nicht weiß, was da angemeckert wird, warne ich selbstverständlich mit.

Jens

Geschrieben von: bond7 17.09.2005, 11:01

Source: C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X6BRKYI2\mbid14[1].exe
Click for more information about this risk : W32.Pinfi
Action taken: Repaired

W32.Pinfi is a memory-resident polymorphic virus that will infect the .EXE and .SCR files. This virus can also spread via mapped drives and network shares.

deshalb funktioniert das ZIP archiv hinterher.

Geschrieben von: Yopie 17.09.2005, 13:55

Heise hats nun im Ticker:
http://www.heise.de/newsticker/meldung/64022

Geschrieben von: Domino 17.09.2005, 14:03

Ich wäre ja zu gerne dabei wenn der erste Verantwortliche den Ticker liest.




Domino

Geschrieben von: Yopie 17.09.2005, 14:27

Geschrieben von: Internetfan1971 17.09.2005, 14:28

Hallo,

Onlinekosten hat es jetzt auch in den News.

http://www.onlinekosten.de/news/artikel/18592


Zum Thema Viren

Ach ja, wie war das noch mit dem vertrauenswürdigen Quellen...

Man sollte wohl besser JEDE Quelle als potenziell gefährlich betrachten...


Zumindest dieser Virus war nicht gefährlich, aber vielleicht der Nächste....

Geschrieben von: vampire 17.09.2005, 14:35

nicht zu fassen, daß es den virus immer noch gibt. mit dem habe ich mich 1995 unter dos schon rumgeärgert.

und die nummer mit dem download... tztztz

Geschrieben von: bond7 17.09.2005, 14:46

bei uns auf arbeit hatte auch eine ältere frau eine diskette mit dem paritevirus drauf mitgehabt , es braucht bei AMI im serverraum nur einer irgend eine diskette reingesteckt haben und schon wars passiert.

Geschrieben von: Domino 17.09.2005, 14:51

Mit Diskette in den Serverraum ?

Aber nicht erwischen lassen.



Domino

Geschrieben von: Kool_Savas 17.09.2005, 15:26

Gibt es noch Diskette Laufwerke in Serverraum?

Geschrieben von: bond7 18.09.2005, 09:54

und der Virus (angehängt an die mbid14) existiert immernoch , scheinbar liesst keiner der angestellten irgendwelche newsmeldungen.

Geschrieben von: christian4u2 18.09.2005, 10:11

Ich sach doch...allle im Wochenende

Geschrieben von: rock 18.09.2005, 10:38

hmm...aber es ist doch so, dass die eigentliche software, also der treiber oder das wartungspack,...was es halt ist...sauber ist...sofern man beim downloaden auch den virenscanner eingeschaltet hat der das file reinigt.

so bekommt man eine funktionstüchtige software heruntergeladen.

das dumme dabei ist, das man an und fürsich bei so einer software nicht an viren denkt, und das ist die gefahr.

das aber am aufgrund der zahlreichen meldungen im internet, niemand von AMD was mitbekommt...kann ich mir nicht vortellen.

Geschrieben von: 2cool 18.09.2005, 12:13

Ähmmm, nur so als Hinweis:

AMD = Advanced Micro Devices (Prozessoren)

AMI = American Megatrends Inc. (BIOS und neuerdings auch Viren )

Also ist AMD (zumindest in der Beziehung) unschuldig.




Das Ding mit dem Virus ist aber echt der Knaller, nee nee.....

Das sieht man es mal wieder, man kann nicht vorsichtig genug sein

Geschrieben von: christian4u2 18.09.2005, 12:38

Ich glaube es bezweifelt hier auch niemand das die software funktioniert
Aber das man sich über ne Website eines ansich renommierten und nicht gerade kleinen Soft- Hardwareunternehmens beim Download nen Virus einfängt ist schon bemerkenswert
Und das in diesem Unternehmen trots zahlreicher Newsmeldungen wie Heise und co. niemand darauf reagiert, dass verschlägt einen schon fast die Sprache!!

Geschrieben von: rock 18.09.2005, 12:54

ami amd oje und mfg rock

stimmt hab mich verschrieben.

Geschrieben von: rock 19.09.2005, 09:54

man ladet sich den pinfi heute montag um 11 weiterhin runter....

Geschrieben von: christian4u2 19.09.2005, 11:45

entweder die oder die...anders kann ich mir das nicht erklären...unglaublich!!

Geschrieben von: Remover 19.09.2005, 12:17

Gerade eben getestet (auf einem Testrechner) und immer noch kein Deut besser.
Ich wuerde mich nicht wundern, wenn wir demnaechst wieder ein
aufbluehen von Parite.b sehen, weil sich etliche Leute den
zum Testen runtergeladen haben und die Sache bei manchen ausser
Kontrolle geraet.

Geschrieben von: Catweazle 19.09.2005, 18:18

Scheint gefixt zu sein !

Catweazle

Geschrieben von: Yopie 19.09.2005, 18:28

Sicher? Ich bekomme immer noch ein trauriges Ergebnis bei Jotti...

Geschrieben von: christian4u2 19.09.2005, 18:33

Nix alles beim alten. KAV meckert prompt!! Langsam wird es mehr als nur peinlich!!

Geschrieben von: Catweazle 19.09.2005, 18:44

Komisch bei mir KAV auf dem Rechner, und bei Jotti kein Virus wird mer angezeigt

Echt jetzt ....Jetz Blicke ich nix mehr

Catweazle

Geschrieben von: Catweazle 19.09.2005, 18:47

Wie geht das mit Imagejack, bzw, hier im Forum ein Scrennshot von ner Seite zu zeigen, hochzuladen ???

Catweazle

Geschrieben von: Catweazle 19.09.2005, 18:53

Also mein KAV vor Ort bei mir auf dem System, zeigt nix an, und bee Jotti vor ner halben Stunde so, auch alles negative

Catweazle

Geschrieben von: bond7 19.09.2005, 19:09

@Catweazle

da machst du irgendwas falsch , solange da noch 302kilobyte an der exe angezeigt werden beim DL ist das ding infiziert.
zur zeit 20UHR ist pinfi noch in der EXE drinn.

Geschrieben von: Catweazle 19.09.2005, 19:12

Also so sieht das Jotti im momment:

http://img47.imageshack.us/img47/5567/jottibericht2la.png

Ich glaube das geht jetzt schief ....!

Catweazle

Geschrieben von: bond7 19.09.2005, 19:27

hast du zugehört ? du hast hundertpro die vom AV schon gereinigte EXE zu jotti hochgeschickt und zwar in der grösse von ca. 130kb .
den rest haste nicht mittbekommen

Geschrieben von: Catweazle 19.09.2005, 19:42

Tut mihr Leid dann stehe ich heute auf dem Schlauch wenn mein KAV nix anzeigen tut, gehe ich davon aus daß das Teil Clean ist, oder KAV kennt die Malware halt nicht, ist aber hier nicht der Fall den die malware ist Ja schon ca 10 jahre im umlauf.

Und ja die datei ist 130 Kb groß....

Catweazle

Geschrieben von: Kurokuma 20.09.2005, 21:00

Betrifft zwar nicht diesen Fall, aber trotzdem das gleich Thema.
Ist bei mir gerade per RSS Feed reingeschneit:
http://www.viruslist.com/en/weblog?weblogid=170721577
--> Wenigstens haben die schon reagiert.

Jaa, matane
Heiko