Trojaner im DLH98 / auf DLH.Net?

Ich wrde gern mal einen offiziellen Info-Thread zu diesem Thema erffnen, weil wir in letzter Zeit wieder verstrkt Anfragen bekommen, was es mit den Virenmeldungen div erser Virenscanner bei DLH98-Modulen auf sich hat. Also mal vorweg: Wir prfen natrlich j ede Datei auf Viren, bevor wir sie online stellen. Allerdings haben Cheatdateien - u nd hier ganz besonders Trainer - eben die Angewohnheit, dass sie andere Dateien verndern sollen, eben den Cheateffekt auslsen sollen und das sieht dann schon ziemlich trojanermig a us. Im Augenblick sollten verschiedene Scanner in den Modulen bei verschiedenen verm eintlichen Trojanern anschlagen: - Trojan.Keylogger.HotKeysHook.A - die berhmteste Falschmeldung Vor einigen Jahren wurde diese Datei von der Virensoftware AVP flschlicherweise a ls Trojaner klassifiziert, nach zwei Tagen aber wieder entfernt (auch auf meine Int ervention hin brigens). Da viele kleinere Antivirenprogramme einfach deren Datenbank bernehm en, verbreitete sich diese Missmeldung rasend schnell, leider haben nicht alle Progr amme das Virenmuster wieder entfernt (die meisten haben es allerdings getan). Dummerweise haben gerade in letzter Zeit einige Scanner die Meldung wieder aufgenommen. Also hier noch mal ganz deutlich: Die weltweit am weitesten verbreitete Trainer-Erstellungs-Softwar e TMK Trainer Maker Kit 1.5 benutzt einen Algorithmus, der aussieht wie ein Keylogger. Ist ja auch irgendwie einsichtlich, denn letztlich machen Trainer nichts anderes als Tastenanschlge in ein Programm zu bertragen. Ich vermute mal, jeder, der schon mal einen Trainer dieser Art benutzt hat, hat die dazugehrige Datei H@tKeysH@@k.DLL im Windows/System32-Ordner liegen. Sieht piratenmig aus, ist aber kein Sicherheitsris iko. Neuerdings heit der "Trojaner" auch: TR/Hotkeys.B.1, Win32.KeyLogger.HatKeys, W32/Keylogger.BQ oder HotKeys Hook. Z. Zt wird diese Fehlermeldung verbreitet von Bitdefender, Ad-Aware - TR/Interlac.10.B Wir gehen bisher ganz fest davon aus, dass es sich bei den Funden in den Trainer n NICHT um den angezeigten Trojaner handelt, und zwar aus folgenden Grnden: - Der angezeigte Trojaner wurde im November 2004 erstmals entdeckt, wird aber vo n AntiVir auch in Dateien entdeckt, die aus dem Juni 2003 stammen. In der heutigen Zeit is t es nicht

anzunehmen, dass ein Trojaner jahrelang unentdeckt bleibt. - Der Trojaner wird in Dateien entdeckt, die von uns selbst programmiert worden sind, also 100-prozentig virenfrei sind. - Der echte Trojaner wrde von einer Vielzahl von Programmen gefunden werden, die man hier einsehen kann. Keines der genannten Programme findet den Trojaner in den vermein tlich verseuchten Dateien. - In mutigen Selbstversuchen wurde keiner der einem Interlac.10.b-Trojaner zuges chriebenen Effekte ausgelst. Wir haben AntiVir von unseren Erfahrungen Meldung gemacht, bisher haben wir kein e Stellungnahme bekommen. Z. Zt wird diese Fehlermeldung verbreitet ausschlielich von AntiVir. - Bck/Delf.NJ Dieser angebliche Trojaner soll in einem uralten Modul vom DLH98 gefunden werden , in 0998.dlm. Es handelt sich definitiv nicht um den angezeigten Trojaner, und zwar aus folgen den Grnden: - Bis jetzt wurde die Datei von keinem Virenscanner als kontaminiert gemeldet un d jetzt, sieben Jahre nach der Erstellung des Trainers, soll sie pltzlich verseucht sein? - Der angebliche Trojaner wird in einer Datei entdeckt, die von Freunden extra fr DLH.Net programmiert wurde. DLH.Net hat diese Datei ohne Umwege direkt erhalten. - Bei dem angeblich befallenen Programm handelt es sich um einen sog. Freezer, d er sich resistent in das Memory setzt und dann bei Bedarf andere Dateien nachldt. Das knnt e flschlicherweise als Trojaner interpretiert werden. - Der echte Trojaner wrde von einer Vielzahl von Programmen gefunden werden, die man hier einsehen kann. Keines der genannten Programme findet den Trojaner in der vermein tlich verseuchten Datei. - Keine Virendatenbank beschreibt den Bck/Delf.NJ, es ist also zu vermuten, dass es sich hierbei - wie so oft - nur um eine Vorsichtsmeldung handelt. Z. Zt wird die Meldung bei der Datei STARV10.exe aus dem Modul 0998 (Trainer Sta r Command Deluxe vom Sept.1998) verbreitet von Panda Platinum Internet Security 2005.

- Trojan Horse Seit dem Modul 0205 attestiert uns die Symantec Norton Internet Security ein 'Tr ojan Horse' in mehr als 50 Trainern. Den Virus/Trojaner 'Trojan Horse' gibt es eigentlich gar nicht, wer sich gern ma l die Infosite dazu bei Symantec ansehen will. Beachtet nun hier die Bereiche Damage ( Schaden) und Distribution (Verteilung), berall steht n/a, das bedeutet so viel wie nicht vorhanden/nicht bekannt. Trojan Horse ist wieder mal eine reine Panikmache, weil vermutlich in den Trainern, mal wieder eine Code-Struktur gefunden wurde, die "w ie ein Trojaner o. . aussehen knnte". Ist aber definitiv kein Virus/Trojaner. Keiner der angesehenen anderen Virenscanner findet hier auch nur den Fitzel eines Trojaners . Z. Zt wird diese Irrmeldung verbreitet von Symantec Norton Internet Security und wird zum Beispiel in allen Trainern der Gruppe CHEATERS (cht-*.exe) gefunden (die seit ei niger Zeit nicht mehr ttig ist). - PCK/MEW und Packer Wenn man bei bestimmten Antivirenprogrammen alle mglichen Heuristiksuchen aktivie rt, dann zeigen sie auch Codes als mglichen Trojaner oder Virus an, die sie einfach nicht verstehen oder wo sie den Code nicht entpacken knnen. Einige Programmierer benutz en ein Programm namens MEW, um ihren Code zu optimieren bzw. zu verbergen. Natrlich bede utet das NICHT, das ein optimierter Code auch ein Virus/Trojaner sein muss. Leider ist ME W in der Trainermachergilde weit verbreitet. hnlich ist es bei den Meldungen, die z.B. als Mal/Packer oder New Malware.n vermeldet werden. Z. Zt. wird diese unntige Panik (unter Umstnden) verbreitet von AntiVir und Avira (MEW) oder Sophos und McAfee (Packer) Und noch ein paar Meldungen, die auch in diese Kategorie gehren und die sinnloser weise neuerdings gemacht wurden: (Suspicious) - DNAScan PUA.Packed.UPack-2 W32/Heuristic-162!Eldorado New Malware.aj W32/Suspicious_U.gen Mal/Packer VIPRE.Suspicious W32/Behav-Heuristic-060 Packed/Upack Win32.Malware.gen (suspicious)

Ich meine: Hey was soll das? Warum schreibt Ihr nicht einfach : "Kann nicht gesc annt werden, da gepackte Datei?" - Trainer der Gruppe PIZZA/PIZZADOX Ab und zu enthalten die Trainer dieser Gruppe Signaturen, die von einigen Virens cannern beanstandet werden, sie erscheinen dann als Worm.Mytob.FN (ClaimAV), Backdoor.Win32.Ciadoor.N (Ikarus) oder W32/Suspicious_M.ge (z.B. Sybari). DLH.Net versichert, dass diese Trojaner NICHT in den Trainern vorhanden sind. Ve rmutlich sehen die benutzten Codes wieder nur so aus, als wrden sie ein Hintertrchen aufmac hen. Nun ja, das tun sie auch ... im Spiel, aber nicht im Betriebssystem. - Generelle Verdchtigungen Der neuste Trend bei diversen AVPs geht dahin, bestimmte Files unter so eine Art Generalverdacht zu stellen, ja es gibt AVPs, die weisen fast jedes gescannte EXE -File als verdchtig aus. Teilweise sind das berhaupt keine Viren-Warnmeldungen, sondern irgendwelche Analyse-Nachrichten. Hier einige Scan-Ergebnisse, die ab und zu auf treten, aber (was Trainer von DLH.Net angeht) nur Panikmache sind: Win-Trojan/Xema.variant (AhnLab-V3) Potentially harmful program HackTool.AID (AVG) suspicious Trojan/Worm (eSafe, das kommt so ziemlich bei jedem DLH-File) Not-A-Virus.HackTool.Win32.Delf.bw (Ewido; Aber Hallo! Hauptsache eine Meldung m achen, auch wenn sie im Virensinne noch so sinnlos ist) HackTool.Win32.Delf.bw (Ikarus und TheHacker, gleiche Meldung, noch mehr Panik, Ewido hat immerhin gemeldet, dass dieser Fund kein Virus ist) Win32.ModifiedUPX.gen!90 (suspicious) (Webwasher-Gateway) BehavesLike:... (BitDefender) could be a corrupted executable file (Authentium) --Ich wei, es ist ganz schwierig, einer Fundanzeige bei einem Virenscan zu mistraue n. Hey, wem kann man noch trauen, wenn nicht seinem Virenscanner? Aber es ist nun mal so , dass es auch unter den Virenprogrammen einen Wettbewerb gibt und das Proggi, das die mei sten Viren

erkennt, hat nun mal gute Karten beim Kufer. Webseiten wie DLH.Net haben berhaupt keinen Einfluss darauf, was als Trojaner deklariert wird. Manchmal bekommen wir recht, hufig aber bleiben wir ungehrt. Deswegen danke ich euch dafr, dass ihr weiter aufmerksam seid, was wir euch vorse tzen und mailt mir ruhig an bw@dlh.net, wenn ihr etwas findet, ich wrde mich allerdings fr euen, wenn ihr euch nicht im Tonfall vergreifen wrdet, was leider hufig nicht der Fall i st. Bei einer Millionen Visits im Monat nehmen wir unsere Verantwortung euch gegenber schon sehr ernst, also tut bitte nicht so, also wrden wir absichtlich oder fahrlssig han deln. Das hat niemand in unserer Redaktion verdient. Wenn jemand mal testen will, ob die Meinung des verwendeten Virenscanners von an deren Programmen geteilt wird, der lade seine Datei hier hoch: http://www.virustotal.com

Euer Bernd 'BigB' Wolffgramm Updated 17.12.2007 __________________ Bernd Wolffgramm DLH.Net-Chief