Hallo Leute,
wie kann es sein daß in der Installations Datei von Spyware Doctor (sdsetup.exe, 12,9 MB) die ich aus dem Internet von h**p://www.pctools.com/mirror/sdsetup.exe
heruntergaladen habe sich ein Virus

VirusBackdoor.Win32.Hupigon.dcvh

in "file286" befinden kann, wer kann helfen, wie gefährlich ist der Virus.


Win xp home sp2

Virenprüfung mit G DATA AntiVirus
Version 18.6.8106.727
Virensignaturen vom 05.08.2008
Startzeit: 06.08.2008 16:46
Engine(s): Engine A (AVK 18.4791), Engine B (AVKB 18.377)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: file286
In Archiv: C:\Dokumente und Einstellungen\NTT...\Eigene Dateien\mininetmon\sdsetup.exe
Status: Virus gefunden
Virus: Backdoor.Win32.Hupigon.dcvh (Engine A)
Objekt: sdsetup.exe
Pfad: C:\Dokumente und Einstellungen\NTT..\Eigene Dateien\mininetmon
Status: Datei in Quarantäne verschoben
Virus: Backdoor.Win32.Hupigon.dcvh (Engine A)

Ich würde dir empfehlen, auf nummer sicher zu gehen und die Datei zu löschen. Wie du sihst handelt es (wenn überhaupt) sich um ein Hintertürprogramm. Man sollte damit rechnen, dass es Daten stihlt und weitere Schadsoftware ruterläd.

Zitat:

Zitat von TR-Vundo

Ich würde dir empfehlen, auf nummer sicher zu gehen und die Datei zu löschen. Wie du sihst handelt es (wenn überhaupt) sich um ein Hintertürprogramm. Man sollte damit rechnen, dass es Daten stihlt und weitere Schadsoftware ruterläd.

Kann denn der Virus von der Internetseite sein schon beim download vorhandengewesen sein (Spoofing...)
h**p://www.pctools.com/mirror/sdsetup.exe
oder wurde die Datei sdetup.exe erst nach dem download mit einem Virus infiziert. Wie kann ich das feststellen.
Was für logs brauchst du dafür.


Gruß

charlie

Hi,

12,9 MByte, das ist mehr als Virustotal und ähnliche Dienste normalerweise als Dateigröße akzeptieren. Vielleicht kommt ja mal jemand vorbei, der GDATA nutzt und mit einer schnellen Verbindung die Datei mal eben laden kann für einen Scan.

Ich hab sie gerade geladen und Antivir hat jedenfalls kein Problem mit ihr, schafft es allerdings nicht das InnoSetup zu entpacken, zeigt daher an, dass nur eine Datei gescannt wurde. Aber auch beim manuellen entpacken gibt es keinen Alarm. Zum Vergleich hier noch die Ausgabe von Sigcheck:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\KARL\Desktop>sigcheck.exe -h sdsetup.exe

Sigcheck v1.52
Copyright (C) 2004-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\Dokumente und Einstellungen\KARL\Desktop\sdsetup.exe:
        Verified:       Signed
        Signing date:   21:17 06.08.2008
        Publisher:      PC Tools

        Description:    Spyware Doctor Setup

        Product:        n/a
        Version:        n/a
        File version:   6.0.0.362
        MD5:    fed735c7bec1b1d494b5f0cc9e85d0ce
        SHA1:   5f1e37db0e7776a14b4630e6441e5abc0567ddc7

C:\Dokumente und Einstellungen\KARL\Desktop>
         

Entpackt sind das fast 300 Dateien und ich kann nicht genau nachvollziehen, was file286 ist, schon alleine, weil man nie weiß, ob die Zählung mit 0 oder mit 1 anfängt. Die Nummer 287 nach meiner Zählung ist "{app}\klg.dat", die ergibt bei Virustotal:

Zitat:

Datei klg.dat empfangen 2008.08.10 01:26:53 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.9.0 2008.08.08 -
AntiVir 7.8.1.19 2008.08.09 -
Authentium 5.1.0.4 2008.08.09 -
Avast 4.8.1195.0 2008.08.09 -
AVG 8.0.0.156 2008.08.09 BackDoor.Hupigon4.ZSN
BitDefender 7.2 2008.08.10 -
CAT-QuickHeal 9.50 2008.08.08 -
ClamAV 0.93.1 2008.08.09 -
DrWeb 4.44.0.09170 2008.08.09 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6021 2008.08.08 -
Ewido 4.0 2008.08.09 -
F-Prot 4.4.4.56 2008.08.08 -
F-Secure 7.60.13501.0 2008.08.09 -
Fortinet 3.14.0.0 2008.08.09 -
GData 2.0.7306.1023 2008.08.10 -
Ikarus T3.1.1.34.0 2008.08.09 -
K7AntiVirus 7.10.408 2008.08.09 -
Kaspersky 7.0.0.125 2008.08.10 -
McAfee 5357 2008.08.08 -
Microsoft 1.3807 2008.08.09 -
NOD32v2 3342 2008.08.09 -
Norman 5.80.02 2008.08.08 W32/Hupigon.DTJT
Panda 9.0.0.4 2008.08.09 -
PCTools 4.4.2.0 2008.08.09 -
Prevx1 V2 2008.08.10 -
Rising 20.56.41.00 2008.08.08 -
Sophos 4.32.0 2008.08.09 -
Sunbelt 3.1.1538.1 2008.08.09 -
Symantec 10 2008.08.10 -
TheHacker 6.2.96.395 2008.08.08 -
TrendMicro 8.700.0.1004 2008.08.08 -
VBA32 3.12.8.3 2008.08.09 -
ViRobot 2008.8.8.1329 2008.08.08 -
VirusBuster 4.5.11.0 2008.08.09 -
Webwasher-Gateway 6.6.2 2008.08.09 -
weitere Informationen
File size: 100864 bytes
MD5...: ae88cfd831422d8fd7e3e6ae30011569
SHA1..: b7be676722e631841c945c8ea76764f2502ac992
SHA256: 708b82e6ef2913a9c7780a894e67e2465fdc3b216d0fbbb57d3887816ebd9040
SHA512: 08b5b852dda639a62817a0c2c4d3ff442abd967bb1452b553885fe640f9390ff<br>63253fb170fd8e47c77776c0ec0dc5b5e88ad35d957440d6a152a5380e69611b
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5a015114<br>timedatestamp.....: 0x48435b23 (Mon Jun 02 02:29:55 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 7 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x13d5c 0x13e00 6.56 bc05a0a2f1ae8479e87e545b5b91c73c<br>.itext 0x15000 0x1a8 0x200 5.42 f7a54492012b297851e803a7d7722fb2<br>.data 0x16000 0x13c8 0x1400 3.95 abd4f342b01537bb0388fdd975475ad5<br>.bss 0x18000 0x2abc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x1b000 0xbfa 0xc00 4.94 05dbd046f97d76eec6c005e020149baa<br>.reloc 0x1c000 0xd84 0xe00 6.62 33e0ed9fc2d481affd3c735f0c3a7f55<br>.rsrc 0x1d000 0x1800 0x1800 3.52 23fa84b60f0e32df9d36925f33c59b17<br><br>( 9 imports ) <br>&gt; oleaut32.dll: SysFreeString, SysReAllocStringLen<br>&gt; advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>&gt; user32.dll: GetKeyboardType, DestroyWindow, MessageBoxA<br>&gt; kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, VirtualQuery, GetStartupInfoA, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>&gt; kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, TlsAlloc, LocalFree, LocalAlloc<br>&gt; user32.dll: TranslateMessage, PeekMessageA, MsgWaitForMultipleObjects, GetSystemMetrics, DispatchMessageA<br>&gt; kernel32.dll: lstrlenW, lstrcpyW, lstrcmpA, WriteFile, WaitForSingleObject, WaitForMultipleObjects, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, UnmapViewOfFile, Sleep, SetThreadPriority, SetLastError, SetEvent, ReleaseMutex, OpenProcess, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MapViewOfFile, LocalFree, LocalAlloc, LoadLibraryExA, LoadLibraryW, LoadLibraryA, LeaveCriticalSection, IsBadReadPtr, InitializeCriticalSection, GetVersionExW, GetVersionExA, GetVersion, GetThreadContext, GetProcAddress, GetModuleHandleW, GetModuleHandleA, GetModuleFileNameW, GetModuleFileNameA, GetLastError, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, FreeLibrary, FormatMessageA, ExitProcess, EnterCriticalSection, DuplicateHandle, DeleteCriticalSection, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CloseHandle<br>&gt; advapi32.dll: SetSecurityDescriptorDacl, OpenProcessToken, LookupPrivilegeValueA, InitializeSecurityDescriptor, GetTokenInformation, GetLengthSid, FreeSid, AllocateAndInitializeSid, AdjustTokenPrivileges<br>&gt; advapi32.dll: GetKernelObjectSecurity<br><br>( 0 exports ) <br>

Google
Google

Gruß, Karl

Datei geladen, mit der aktuellen Version und frischen Virensignatur-Daten von G-Data Antivir gescannt, keine Meldung über Funde. HTH!

Zitat:

Zitat von KarlKarl

Hi,


Ich hab sie gerade geladen und Antivir hat jedenfalls kein Problem mit ihr, schafft es allerdings nicht das InnoSetup zu entpacken, zeigt daher an, dass nur eine Datei gescannt wurde. Aber auch beim manuellen entpacken gibt es keinen Alarm. Zum Vergleich hier noch die Ausgabe von Sigcheck:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\KARL\Desktop>sigcheck.exe -h sdsetup.exe

Sigcheck v1.52
Copyright (C) 2004-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

C:\Dokumente und Einstellungen\KARL\Desktop\sdsetup.exe:
        Verified:       Signed
        Signing date:   21:17 06.08.2008
        Publisher:      PC Tools

        Description:    Spyware Doctor Setup

        Product:        n/a
        Version:        n/a
        File version:   6.0.0.362
        MD5:    fed735c7bec1b1d494b5f0cc9e85d0ce
        SHA1:   5f1e37db0e7776a14b4630e6441e5abc0567ddc7

C:\Dokumente und Einstellungen\KARL\Desktop>
         

Entpackt sind das fast 300 Dateien und ich kann nicht genau nachvollziehen, was file286 ist, schon alleine, weil man nie weiß, ob die Zählung mit 0 oder mit 1 anfängt. Die Nummer 287 nach meiner Zählung ist "{app}\klg.dat", die ergibt bei Virustotal:


Google
Google

Gruß, Karl

Hab mir eben noch mal die Gdata Protokolle angesehen und eine hinweis auf die klg.dat gefunden

-------------------------------------
Beim Öffnen der Datei "C:\Programme\Spyware Doctor\klg.dat" wurde der Virus "Backdoor.Win32.Hupigon.dcvh" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
------------------------------------

Nach den Google links handelt es sich wohl um eine Falschpositiven Virenfund.
Zum anderen soll es auf der Internetseite von Pctools

h**p://www.pctools.com/de/spyware-doctor/?ref=google_de&gclid=CIWghpTXgpUCFQ6S1QodEihpqA

ein neue Dateiversion vom 07.08.2008 geben.
Liegt es jetzt am Virenscanner oder an der sdsetup.exe von Pctools

gruss charlie

Na so dazwischen. Zum einen hat Pctools bei der Programmierung (die klg.dat ist eine umbenannte EXE-Datei) einfach ein Muster getroffen, dass der Virenscanner für den Hupigon hält. Zum anderen hat der Virenscanner kein Muster in seinen Erkennungen, dass die klg.dat von der Erkennung ausnimmt.

Dass die Falscherkennungen zunehmen werden, da gehe ich stark davon aus. Die Flut der neuen Malware wächst immer schneller an, die Scannerhersteller hecheln mit letzter Kraft hinterher. Schicks halt ein, vielleicht haben sie Zeit das zu korrigieren.