ACHTUNG: W32/Induct befällt viele Freeware Programme, QIP, AnyTV und weitere dabei! Einstellungen

[Habakuck]

Ich sitze hier grade mit offenem Mund und kann es nicht fassen.

Folgendes ist heute passiert:

Ich bemerkte Auffälligkeiten an meinem PC die ich auf Inkompatibilitäten zwischen Mamutu und PrevX zurückführte.

Dann las ich diesen Post und alles was damit zusammenhängt:
http://www.rokop-security.de/index.php?sho...st&p=282696
http://www.heise.de/security/Virus-infizie.../meldung/143679
http://www.viruslist.com/en/weblog?weblogid=208187826

War ganz interessant das zu lesen.

Aber ihr glaubt nicht was grade eben passiert ist:

PrevX hat seinen täglichen Vollscan gestartet und mein QIP bemängelt. Die neueste QIP Version hatte ich mir vor drei Tagen installiert, Quelle: Chip.de weil qip2005 auf der offiziellen HP nicht mehr zu Verfügung steht.

Ich dachte natürlich das wäre ein FP weil ich qip vertraue.

Aber da ich das immer so mache habe ich die Datei bei VT hochgeladen. Sah nicht gut aus. Keine Signaturen Funde aber viele Scanner schlugen heuristisch an.

Daher habe ich die beim PrevX team eingereicht. Joe hat mir auf den ersten Blick gesagt die Datei sei wahrscheinlich verseucht er untersucht das weiter.

Da war ich ein bischen verunsichert und habe die Datei mit a^2 gescannt. FUND! = W32/Induct Da klingelte dann was.... Das ist HAMMER HART!

Ich würde jedem dringend raten seinen PC mit a^2 oder so mal durchzukauen und bis auf weiteres keine neuen Progs zu installieren.

Der Beitrag wurde von Habakuck bearbeitet: 18.08.2009, 16:48

[Jav.SEC.21]

Soll wohl viele Programme treffen, die auf der Entwicklungsebene Delphi basieren.
Er befällt demnach auch nur Systeme auf denen Delphi integriert ist.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 18.08.2009, 16:48

[Habakuck]

Jo, aber das hinterlässt schon ein blödes Gefühl...

Ich meine ich hatte Delphi sogar mal installiert...

[Jav.SEC.21]

Ja, da kann man nur hoffen das die Lücken so schnell wie möglich geschlossen werden.

[Habakuck]

Das fiese daran ist, dass der QIP Installer mit a-squared gescannt wurde und beim Ausführen nochmal von PrevX.

Beide nichts gefunden. War wohl noch zu neu das Teil und da es nicht wirklich aktiv schädliches Verhalten zeigt schlug auch PrevX nicht an. Erst heute beim Vollscan weil die Signatur auf dem Server vorhanden war...

Der Beitrag wurde von Habakuck bearbeitet: 18.08.2009, 16:58

[Jav.SEC.21]

Einige Programme, die auf Delphi basieren, gibt es bereits in neuen Versionen.
Bsp.: Tidy Favorites

https://www.virustotal.com/de/analisis/3545...175d-1250447643

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 18.08.2009, 17:09

[olli]

Dann hat Kaspersky ja ganz schnell den richtigen Riecher gehabt:
http://forum.kaspersky.com/index.php?showtopic=128495

Bis denne
Olli

[Jav.SEC.21]

Ja, da war Kaspersky richtig schnell, kann man sich ein Beispiel nehmen.
Welche Virenscanner erkennen das Problem bereits?
Laut Virustotal vom 16.08 nur a-squared, F-Secure, Ikarus, Kaspersky und Panda.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 18.08.2009, 17:11

[markusg]

edit

Der Beitrag wurde von markusg bearbeitet: 18.08.2009, 17:15

[Habakuck]

PrevX wohl auch. Sonst hätte er bei mir nicht angeschlagen. Ich melde mich wenn der PrevX Support sich meldet.

[Habakuck]

Dann hat Kaspersky ja ganz schnell den richtigen Riecher gehabt:
http://forum.kaspersky.com/index.php?showtopic=128495

Bis denne
Olli

http://www.viruslist.com/en/weblog?weblogid=208187826
und der heise-artikel:
http://www.heise.de/newsticker/Virus-infiz.../meldung/143679

Öhm, warum verlinkt ihr genau die Links die ich schon gepostet habe??

[Voyager]

https://www.virustotal.com/de/analisis/db13...38b5-1250612688

gleiche Datei wie von Jav.SEC.21 nur unterschiedliche Größe , auch wieder infiziert oder immernoch infiziert ?

[markusg]

der link geht aber net @voyager

[Jav.SEC.21]

Bei mir schon @markusg

[Gast_kurz-pc_*]

Avira erkennt ihn jetzt auch.
http://www.avira.de/de/sicherheits-news/virus_heft_cds.html

[Voyager]

Meiner Meinung betrifft das wesentlich mehr Software , den FinalUninstall_setup.exe hab ich von der Homepage geholt.

[Jav.SEC.21]

Hab gerade einen Versuch gestartet: 14/41 (34.15%) AV schlagen an.
2009.08.18 17:19:02 (UTC)
http://www.virustotal.com/de/analisis/93ed...4c31-1250615942
ANYTV_SETUP_2.4.1 http://www.anytvplayer.com/

Die Datei wurde vermutlich vom Download Server bereits entfernt, sowie von gängigen Download-Anbietern.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 18.08.2009, 18:11

[Voyager]

Du solltest das getestete File aber mal beschreiben oder ist das ein Scherz ?!

edit:
Danke das du die Datei von Rokop-Security-Test.exe in etwas verständliches geändert hast woran man auch erkennen kann wozu die ScannerErkennungen hingehören.

Der Beitrag wurde von Voyager bearbeitet: 18.08.2009, 18:14

[Jav.SEC.21]

Ja wenn ich Standard Datei Namen nimm, gibt er mir ja immer ein altes Ergebnis zur einer gleichen Datei.
Aber hab auch gemerkt das bei "Analyse" die Datei neu gescannt wird.

(das schreibt man mit "d") Was soll das?

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 18.08.2009, 18:21

[Gast_kurz-pc_*]

Das Programm Preispiraten 6 ist auch betroffen.
http://www.virustotal.com/analisis/628905d...c7eb-1250616274
http://www.virustotal.com/analisis/d86ba0e...3f3c-1250616276
http://www.virustotal.com/analisis/4d4739c...9af5-1250616381

und auch der Glary Registry Repair
http://www.virustotal.com/analisis/8cb30b2...a9d0-1250616595

[Habakuck]

Nur nochmal fürs Protokoll:

QIP ebenfalls: http://www.virustotal.com/de/analisis/3a99...f2cc-1250614013

Ich denke da kommt eine kleine Epidemi auf...

[Habakuck]

Was mich ebenfalls SEHR beunruhigt ist, dass immer unterschiedliche Scanner anschlagen!

Alles ziemlich bekloppt. Wie soll ich da jetzt sicher sein, dass bei mir alles gefunden wird. PrevX lässt sich mehr Zeit als sonst. Das könnte bedeuten, dass sie einiges zu analysieren haben. Hoffentlich kommt was vernünftiges bei raus.

[Gast_Nightwatch_*]

Der Artikel von F-Secure zum Thema:

http://www.f-secure.com/weblog/archives/00001752.html

[Voyager]

Ich teste die Sachen auf der VM aber machen tun die infizierten Files garnichts wenn man keine Entwicklungssoftware installiert hat ? Sonar2 schlägt nicht an.

[Habakuck]

Ich teste die Sachen auf der VM aber machen tun die infizierten Files garnichts wenn man keine Entwicklungssoftware installiert hat ? Sonar2 schlägt nicht an.

Ich glaube nicht. Sonst hätte sich PrevX schon während der QIP Installation gemeldet....

[Gast_blueX_*]

Eine infizierte Datei ging gestern nachmittag an alle Virenschutzhersteller.

Bedauerlicherweise haben einige Virenschutzhersteller sogar mit "Keine Malware" geantwortet.

[markusg]

FinalUninstall_setup.exe wird von avira nicht erkannt.

[Gast_blueX_*]

Möglicherweise können einigen Dateien trotz Signatur nicht erkannt werden.

Man sollte die Dateien so schnell wie möglich an alle Virenschutzhersteller senden.


Ich habe gerade nochmals eine dringende Submission eingereicht, z. T. an die Analytiker selbst.

[markusg]

ich hab im avira-forum gepostet und bei avira hochgeladen, aber ob da heute noch ein update kommt, ich glaub es nicht *g

[Gast_kurz-pc_*]

FinalUninstall_setup.exe wird zwar von avira nicht erkannt.

Adlerdings FU.exe http://www.virustotal.com/analisis/7b028a8...feff-1250619850 und Update.exe http://www.virustotal.com/analisis/0c123ff...59ca-1250619838.

Vermute Avira kann den Installer von FinalUninstall nicht entpacken und erkennt es deswegen erst beim Installations versuch.

[markusg]

FinalUninstall_setup.exe wird zwar von avira nicht erkannt.

Adlerdings FU.exe http://www.virustotal.com/analisis/7b028a8...feff-1250619850 und Update.exe http://www.virustotal.com/analisis/0c123ff...59ca-1250619838.

Vermute Avira kann den Installer von FinalUninstall nicht entpacken und erkennt es deswegen erst beim Installations versuch.

ok, hab das setup an avira gesendet. hatte das halt nur mit 7zip entpackt und den ordner gescannt, momentan kene vm instaliert.

Der Beitrag wurde von markusg bearbeitet: 18.08.2009, 19:32

[Gast_kurz-pc_*]

hmm, ich habe das ding mit 7zip entpackt, und mit avira gescannt, nichts. virus total sagt aber 3 von 41

Also ich habe es mit dieser getestet: hxxp://finaluninstaller.com/FinalUninstall_setup.exe

Entpacken geht doch mit 7zip gar nicht richtig.
Lässt sich zwar entpacken aber dabei kommen nur ein paar Datei raus die insgesamt auch nur 61 KB groß sind.
Wahrscheinlich kann man das mit 7zip nicht komplett entpacken.



Mit Universal Extractor kann man dagegen diese Setup komplett entpacken.

[markusg]

hallo, es ist 2.60 mb groß
Universal Extractor versuche ich mal, thx für den tipp!
ich hab mein download von hier:
wxw.download25.com/install/final-uninstaller.html

Der Beitrag wurde von markusg bearbeitet: 18.08.2009, 19:42

[markusg]

ok, nu mit dem genannten tool klappts auch bei mir. noch ma danke

[Gast_blueX_*]

Gibt es inzwischen mehrere Varianten?

Einige AV's bringen eine Generic-Erkennung raus.
Virus/Win32.Induc.gen

Hier hat wohl Ikarus Probleme:
http://www.virustotal.com/analisis/8cb30b2...a9d0-1250616595

In einer anderen Datei erkennt Sophos den Schädling, allerdings unter einen anderen Namen.

[Solution-Design]

Man stelle sich vor, die Malware wäre wirklich mal schädlich OK, HIPS bzw Behaviorblocker wprden wahrscheinlich anschlagen, aber dennoch. Schon interessant, was heutzutage möglich ist...

[Gast_Nightwatch_*]

F-Secure-Antwort zur FinalUninstall_setup.exe :

Hello,

Thank you for the sample.

The file is indeed infected with Induc. Detection will be added in one of the next databases.

Have a nice day!

Die E-Mail kam genau 33 Minuten nach dem Einschicken

Gruß,
Nightwatch

[Habakuck]

Man stelle sich vor, die Malware wäre wirklich mal schädlich OK, HIPS bzw Behaviorblocker wprden wahrscheinlich anschlagen, aber dennoch. Schon interessant, was heutzutage möglich ist...

Aber hallo. Genau das schockt mich so. Da braucht man nichtmal was falsch machen. Nur qip updaten und schwups. Ohne das die qip Macher oder ich so richtig was dafür können.

[Voyager]

http://www.heise.de/newsticker/Banking-Tro.../meldung/143755

Virenschreiber haben sich selbst mit dem Delphi Virus infiziert, soviel dazu das die Jungs alle so helle sind

[Gast_blueX_*]

Die Erkennungsleistung ist immernoch nicht berauschend: http://www.virustotal.com/de/analisis/93ed...4c31-1250706521

[Sasser]

http://www.chip.de/news/Virus-Avira-warnt-...s_37667955.html
Und bei Chip.de/eu etc. keine Any.tv mehr zu laden...Fehler 404 /Seite existiert nicht mehr...die haben alle reagiert...Schön das dies klappt.
Mal so zur Diskussion gestellt...glaubte Delphi tatsächlich vor Angriffen dieser Art gefeit zu sein und Java dovongekommen zu sein, die ja schon eines besseren belehrt wurden und fleißig Updates rausbringen...

[Habakuck]

Naja, von funktionieren kann da keine Rede sein.

VERSEUCHT! => h**p://www.chip.de/downloads/c1_downloads_hs_getfile_v1_24296085.html?t=1250756616&v=3600

Download der QIP 8095 ist nach wie vor online. Besonders frech finde ich in dem Zusammenhang diese Annonce die man ja in der Beschreibung zu jedem Download findet:

* Kostenloser und sicherer Download bei CHIP Online
* Highspeed-Download "powered by Akamai"
* Dieser Download ist Virengeprüft durch: Kaspersky

Der Beitrag wurde von Habakuck bearbeitet: 20.08.2009, 09:28

[Gast_blueX_*]

Hier sollte man Chip einmal aufmerksam machen ....

[Rios]

Also so sieht es hier aus.

QUELLTEXT

http://virusscan.jotti.org/en/scanresult/5600114c7b630458dfa371c93ef7e91737585339/4e1fbdad8de47e0bda4be7bfbfd1ca629aba1776

QUELLTEXT

http://www.virustotal.com/de/analisis/ad7eabf09ec1f65f35ab4e0fd3a695bd3bac67f9aab635c8f47b0ca4920c0c61-1250792191

Der Beitrag wurde von Rios bearbeitet: 20.08.2009, 19:12

[Solution-Design]

Hier sollte man Chip einmal aufmerksam machen ....

Vielleicht sollten die ihre Datenbestände auch einfach mal sichten. So etwas ist peinlich.

[Habakuck]

Also so sieht es hier aus.

QUELLTEXT

http://virusscan.jotti.org/en/scanresult/5600114c7b630458dfa371c93ef7e91737585339/4e1fbdad8de47e0bda4be7bfbfd1ca629aba1776

QUELLTEXT

http://www.virustotal.com/de/analisis/ad7eabf09ec1f65f35ab4e0fd3a695bd3bac67f9aab635c8f47b0ca4920c0c61-1250792191

Du hast den Installer hochgeladen oder? Der ist "sauber". Die installierte .exe ist verseucht. Warum die AVs das nicht im Installer erkennen ist erstens arm und zweitens erschreckend. Eigentlich auch nicht wirklich denn man kann ein AV eigentlich eh in die Tonne kloppen.

Vielleicht sollten die ihre Datenbestände auch einfach mal sichten. So etwas ist peinlich.

So sehe ich das auch.

Der Beitrag wurde von Habakuck bearbeitet: 20.08.2009, 21:42

[Gast_kurz-pc_*]

Das ganze ich mal wirklich Peinlich.

Auf Chip gibt es diese News:
http://www.chip.de/news/Virus-Avira-warnt-...s_37667955.html

"Auch bei CHIP Online war die Datei "anytv241_setup.exe" kurzzeitig verfügbar, wurde aber inzwischen entfernt. Sämtliche angebotenen Downloads werden routinemäßig einer Virenprüfung unterzogen. "

Bei jedem Download von Chip.de steht groß und Fett "Virengeprüft durch Kaspersky"


Glary Utilities vom Chip Download Server Result: 10/41 (24.4%) dabei gibt es seit gestern eine Aktualisierte Version ohne Induc.
http://www.virustotal.com/analisis/21902fd...b7cc-1250801249


PC Wellt ist auch nicht besser.

Auf PC Wellt gibt es diese News:
http://www.pcwelt.de/start/sicherheit/vire..._heft_cds_dvds/

"Kurioser "Volks-Virus" auf Computerbild Heft-CDs/DVDs"
"Wir empfehlen allen Käufern der Computerbild 18/2009, die die Heft-CD/DVD genutzt haben, ihr System mit einer aktuellen Antiviren-Software zu überprüfen."
"Unser Tipp: Wenn Sie die aktuell am Kiosk erhältliche PC-WELT 9/2009 besitzen, können Sie zur Bekämpfung des Delphi-Hasser-Virus die mitgelieferte Notfall-DVD einsetzen. Unsere Notfall-DVD ist bootbar, so dass Sie nicht erst Windows starten müssen, um potentielle Schädlinge zu entfernen."

Warum es die PC Wellt nicht hin bekommt mit ihrer Tollen Notfall DVD ihre Download Server zu prüfen verstehe ich nicht.

Glary Utilities von PC Wellt Download Server Result: 8/41 (19.52%)
http://www.virustotal.com/analisis/1fed27d...85db-1250801658

[Clinton]

Hier gibt es Meldungen das Gold Audio Suite ebenfalls verseucht sei mit dem Teil.

[Solution-Design]

Mir zeigt das ganze die Macht der Malware-Programmierer und die Machtlosigkeit der signaturbasierenden AVs ohne weitere Schutzmaßnahme. Sinnvoll sind Signaturen schon, keine Frage, aber die Hinterherlauferei ist schon ein Hammer. Genau wie es ein Hammer ist, wie lange manche Hersteller brauchen.

[Gast_Aymibien_*]

Hier gibt es Meldungen das Gold Audio Suite ebenfalls verseucht sei mit dem Teil.

wie passend, ist das nicht das giveaway of the day ? mit kleiner extrabeilage

[Clinton]

wie passend, ist das nicht das giveaway of the day ? mit kleiner extrabeilage

So ist es...

[Gast_Nightwatch_*]

Sinnvoll sind Signaturen schon, keine Frage, aber die Hinterherlauferei ist schon ein Hammer. Genau wie es ein Hammer ist, wie lange manche Hersteller brauchen.

Hey Solution
Stimme Dir in jedem Punkt zu, was den Endanwender anbelangt.
Für Chip & Co bleibt leider nur der Weg, alles per Signatur scannen zu lassen. So etwas darf man sich natrülich trotzdem nicht leisten.
Induc ist ein schönes Beispiel für den Stand der Branche. Viele sind im Kopf weiter, als mit den Füßen. Wir sind noch nicht am Ziel .

Der Beitrag wurde von Nightwatch bearbeitet: 21.08.2009, 15:09

[Rios]

Bitdefender. Aber das machen andere auch.

[StR@ng3r]

http://www.heise.de/newsticker/Banking-Tro.../meldung/143755

Virenschreiber haben sich selbst mit dem Delphi Virus infiziert, soviel dazu das die Jungs alle so helle sind

Kunststück, die Clients von Trojanern werden in der Regel in Delphi geschrieben und gerade in den GUS-Ländern ist z.B. QIP sehr verbreitet.

Dennoch erschreckend, wie simple das ganze eigentlich ist. Ein Glück, dass keine Schadenroutinen implementiert waren. Wahnsinn, was das noch für Kreise hätte ziehen können.

So denke ich, sind eigentlich alle nochmal mit einem blauen Auge davon gekommen und wurden fleißig wachgerüttelt.

Der Beitrag wurde von StR@ng3r bearbeitet: 22.08.2009, 01:27

[aido]

Delphi ist doch mittlerweile so überladen, dass ich mich noch wundere wie viele es noch verwenden. Man verliert selbst bei den eigenen Programmkomponenten den Überblick. Da liebe ich doch die Konsolen-Kommandos von GCC oder das Arbeiten mit Codeblocks.

aido

Der Beitrag wurde von aido bearbeitet: 22.08.2009, 10:23

[Gast_Nightwatch_*]

Induc bleibt ein Problem für alle AV´s. Ich finde täglich noch genügend Samples, die fast keiner erkennt. Wo bleiben die Heuristiken

Gruß,
Nightwatch

[aido]

Das ist deshalb schwierig, weil Induc während der Compilierung in den Installer eingebaut wird. Es ist also in den Quellcodes zu suchen. Wenn man bedenkt, wie umfangreich mittlerweile die Programmbibliotheken geworden sind, dann kann man sich die Chancen für ein Erfolgreiches auffinden ausrechnen. Es ist wie die berühmte Suche nach der Nadel im Heuhaufen. Im Grunde müssten selbst alle Quelldateien mit einer Signatur versehen werden um sich vor Veränderungen zu Schützen.

[Gast_blueX_*]

Hat jemand die neue Variante von Induc schon irgendwo gesehen?
Wie wird sie erkannt?

[aido]

Hier eine Beschreibung wie man diesen erkennt: http://blog.eurekalog.com/?p=244

[Clinton]

Delphi-Virus auf DVD des c't-Sonderhefts Hardware!

Quelle: http://www.heise.de/security/Delphi-Virus-.../meldung/145637

So kann es gehen...

Der Beitrag wurde von Clinton bearbeitet: 21.09.2009, 18:00