Was ist mit W32/Retroy.A? Einstellungen

[Rene-gad]

Hallo Zusammen,
ich habe vor ein Paar Tagen so spaßhalber den Bitdefender Free 7.0 an meinem PC installiert. Beim Fullscan endteckte er den o.g. Virus:

...C:\Programme\Real\RealOne Player\~Upg43\CreateDirectory.exe Infected Win32.Retroy.A
C:\Programme\Real\RealOne Player\~Upg43\CreateDirectory.exe Disinfection failed - Trying second action
C:\Programme\Real\RealOne Player\~Upg43\CreateDirectory.exe Moved...

...zu Quarantene.
Die Datei wurde, wie die allen anderen in diesem Verzeichniss, am 08.06.03 bei der Installation von Real Player gespeichert und von keinem aus den nächsten AV-Programmen gemeldet: NVC 5.6, AVPE 6.20, Panda-OnlineScan, Trendmicro Housecall, Kaspersy Filecheck, Symantec Security Check- Online
Ich habe die Datei an Bitdefender geschickt. Hier ist die Antwort:

...The file is indeed infected with Win32.Retroy.A, and is also detected by
Sophos as Troj/Retroy-A. It is also true that the virus is not detected by any
other product on the market except the ones mentioned.

Please don't change the subject of the email in order to better keep track of
the message history.

Feel free to contact us with any suggestion or should you require more
information.

...tja. Ich bin zu schwach in der rumänischen Sprache, um die Antwort richtig interpretieren zu können. Google.de brachte mir einen Beitrag vom Mai d.J. in einem Forum, der ohne jegliche Antwort blieb.
Soll ich:
a) die Datei \\CreateDirectory.exe löschen ???
b) die Datei \\CreateDirectory.exe an Real.com schicken ???
c) gar nix tun ???
Ich persönlch würde zum Punkt c) tendieren. Und Ihr?

Der Beitrag wurde von Rene-gad bearbeitet: 27.09.2003, 17:41

[Rokop]

kannst Du die Datei mal zu mir rübersenden ? virus@rokop-security.de

[Gast_Gladiator_*]

Roman, bitte schicke mir diese Datei auch mal - meine eMail Adresse hast Du ja.

[Gast_Gladiator_*]

Tja, das ist halt schon sch.... wenn man keine Signaturen erstellen kann und wie hier in dem Fall Bitdefender eine Signatur ueber die Runtime Lib von Rapid Q (Basic Compiler mit dem der urspruengliche Trojaner Retroy programmiert wurde) zieht

Betroffen sind folgende Libs: RAPIDQ4.LIB und RAPIDQ4C.LIB - und das sind stinknormale Runtime Libs von dem Compiler - nix Virus.

Mich hatte schon gewundert, dass der gar keine FindFirst/Next Funktionen nach *.HTM drin hat. Mal genauer angeschaut und siehe da - kein Virus.

Kaspersky macht hier uebrigens auch Mist - RapidQ ist kein Runtime Packer, sondern eine Runtime Library....

Schreib denen von Bitdefender am besten mal die sollen ueber den letzten Teil des Files eine Signatur ziehen und nicht upx files entpacken und dann ueber die Runtime Library ziehen

Gruesse Gladi

[SkeeveDCD]

Och da sind die Jungs von Bitdefender nicht die einzigen mit Sigs über Runtime Lib machen:

http://groups.yahoo.com/group/rapidq/message/17703

McAfee und AVG hatten da wohl auch mal False Positives...

[Gast_Gladiator_*]

Du haettest Dich einfach nur rumdrehen muessen und mir auf die Schultern klopfen damit ich die Kopfhoerer abnehme - dann haettest Du es mir auch sagen koennen

[SkeeveDCD]

Ne du wirktest so beschäftigt.

[Gast_Gladiator_*]

Bis gegen 9 Uhr laufe ich im abgesicherten Kompatibilitaetsmodus - dannach voll multitaskingfaehig trotz Kopfhoerer

[Gast_Andreas Haak_*]

So früh schon arbeiten? *kopf schüttel* ... nene *g*.

[raman]

McAfee und AVG hatten da wohl auch mal False Positives...

Also Mcafee at das schon seit Mitte 2001 im Griff.

[Rene-gad]

Hallo Zusammen,
vielen Dank an Rokop, Gladiator und alle Beteiligte.