Trojaner im DLH98 / auf DLH.Net?

Ich würde gern mal einen offiziellen Info-Thread zu diesem Thema eröffnen, weil wir in letzter Zeit wieder verstärkt Anfragen bekommen, was es mit den Virenmeldungen div erser Virenscanner bei DLH98-Modulen auf sich hat. Also mal vorweg: Wir prüfen natürlich j ede Datei auf Viren, bevor wir sie online stellen. Allerdings haben Cheatdateien - u nd hier ganz besonders Trainer - eben die Angewohnheit, dass sie andere Dateien verändern sollen, eben den Cheateffekt auslösen sollen und das sieht dann schon ziemlich trojanermäßig a us. Im Augenblick sollten verschiedene Scanner in den Modulen bei verschiedenen verm eintlichen Trojanern anschlagen: - Trojan.Keylogger.HotKeysHook.A - die berühmteste Falschmeldung Vor einigen Jahren wurde diese Datei von der Virensoftware AVP fälschlicherweise a ls Trojaner klassifiziert, nach zwei Tagen aber wieder entfernt (auch auf meine Int ervention hin übrigens). Da viele kleinere Antivirenprogramme einfach deren Datenbank übernehm en, verbreitete sich diese Missmeldung rasend schnell, leider haben nicht alle Progr amme das Virenmuster wieder entfernt (die meisten haben es allerdings getan). Dummerweise haben gerade in letzter Zeit einige Scanner die Meldung wieder aufgenommen. Also hier noch mal ganz deutlich: Die weltweit am weitesten verbreitete Trainer-Erstellungs-Softwar e TMK Trainer Maker Kit 1.5 benutzt einen Algorithmus, der aussieht wie ein Keylogger. Ist ja auch irgendwie einsichtlich, denn letztlich machen Trainer nichts anderes als Tastenanschläge in ein Programm zu übertragen. Ich vermute mal, jeder, der schon mal einen Trainer dieser Art benutzt hat, hat die dazugehörige Datei H@tKeysH@@k.DLL im Windows/System32-Ordner liegen. Sieht piratenmäßig aus, ist aber kein Sicherheitsris iko. Neuerdings heißt der "Trojaner" auch: TR/Hotkeys.B.1, Win32.KeyLogger.HatKeys, W32/Keylogger.BQ oder HotKeys Hook. Z. Zt wird diese Fehlermeldung verbreitet von Bitdefender, Ad-Aware - TR/Interlac.10.B Wir gehen bisher ganz fest davon aus, dass es sich bei den Funden in den Trainer n NICHT um den angezeigten Trojaner handelt, und zwar aus folgenden Gründen: - Der angezeigte Trojaner wurde im November 2004 erstmals entdeckt, wird aber vo n AntiVir auch in Dateien entdeckt, die aus dem Juni 2003 stammen. In der heutigen Zeit is t es nicht

NJ.exe aus dem Modul 0998 (Trainer Sta r Command Deluxe vom Sept. also 100-prozentig virenfrei sind. die man hier einsehen kann.Bck/Delf.1998) verbreitet von Panda Platinum Internet Security 2005. . DLH. Freezer. die von uns selbst programmiert worden sind. Z.Keine Virendatenbank beschreibt den Bck/Delf. dass es sich hierbei . sieben Jahre nach der Erstellung des Trainers. d er sich resistent in das Memory setzt und dann bei Bedarf andere Dateien nachlädt. die man hier einsehen kann.wie so oft . Es handelt sich definitiv nicht um den angezeigten Trojaner. . es ist also zu vermuten.Net programmiert wurde.nur um eine Vorsichtsmeldung handelt. Das könnt e fälschlicherweise als Trojaner interpretiert werden.Bei dem angeblich befallenen Programm handelt es sich um einen sog.Der angebliche Trojaner wird in einer Datei entdeckt. Keines der genannten Programme findet den Trojaner in der vermein tlich verseuchten Datei.Der echte Trojaner würde von einer Vielzahl von Programmen gefunden werden. . Keines der genannten Programme findet den Trojaner in den vermein tlich verseuchten Dateien. Z.dlm. dass ein Trojaner jahrelang unentdeckt bleibt.Bis jetzt wurde die Datei von keinem Virenscanner als kontaminiert gemeldet un d jetzt.Der echte Trojaner würde von einer Vielzahl von Programmen gefunden werden. bisher haben wir kein e Stellungnahme bekommen.10. . . die von Freunden extra für DLH. in 0998. .In mutigen Selbstversuchen wurde keiner der einem Interlac.Net hat diese Datei ohne Umwege direkt erhalten.anzunehmen. Wir haben AntiVir von unseren Erfahrungen Meldung gemacht. . Zt wird diese Fehlermeldung verbreitet ausschließlich von AntiVir.Der Trojaner wird in Dateien entdeckt. und zwar aus folgen den Gründen: .NJ Dieser angebliche Trojaner soll in einem uralten Modul vom DLH98 gefunden werden . . soll sie plötzlich verseucht sein? .b-Trojaner zuges chriebenen Effekte ausgelöst. Zt wird die Meldung bei der Datei STARV10.

Zt.gen (suspicious) . Z.Suspicious W32/Behav-Heuristic-060 Packed/Upack Win32. Ä. die sie einfach nicht verstehen oder wo sie den Code nicht entpacken können. Natürlich bede utet das NICHT. Ähnlich ist es bei den Meldungen.gen Mal/Packer VIPRE. Beachtet nun hier die Bereiche Damage ( Schaden) und Distribution (Verteilung). Zt wird diese Irrmeldung verbreitet von Symantec Norton Internet Security und wird zum Beispiel in allen Trainern der Gruppe CHEATERS (cht-*.Malware. überall steht n/a.PCK/MEW und Packer Wenn man bei bestimmten Antivirenprogrammen alle möglichen Heuristiksuchen aktivie rt.. die auch in diese Kategorie gehören und die sinnloser weise neuerdings gemacht wurden: (Suspicious) .aj W32/Suspicious_U. mal wieder eine Code-Struktur gefunden wurde.UPack-2 W32/Heuristic-162!Eldorado New Malware. Einige Programmierer benutz en ein Programm namens MEW. wird diese unnötige Panik (unter Umständen) verbreitet von AntiVir und Avira (MEW) oder Sophos und McAfee (Packer) Und noch ein paar Meldungen. Keiner der angesehenen anderen Virenscanner findet hier auch nur den Fitzel eines Trojaners .exe) gefunden (die seit ei niger Zeit nicht mehr tätig ist).Packed. die z. das bedeutet so viel wie nicht vorhanden/nicht bekannt. wer sich gern ma l die Infosite dazu bei Symantec ansehen will.Trojan Horse Seit dem Modul 0205 attestiert uns die Symantec Norton Internet Security ein 'Tr ojan Horse' in mehr als 50 Trainern. die "w ie ein Trojaner o. das ein optimierter Code auch ein Virus/Trojaner sein muss. dann zeigen sie auch Codes als möglichen Trojaner oder Virus an. als Mal/Packer oder New Malware.B. um ihren Code zu optimieren bzw. Z. Den Virus/Trojaner 'Trojan Horse' gibt es eigentlich gar nicht.DNAScan PUA. Ist aber definitiv kein Virus/Trojaner.n vermeldet werden. zu verbergen. Trojan Horse ist wieder mal eine reine Panikmache. weil vermutlich in den Trainern. Leider ist ME W in der Trainermachergilde weit verbreitet. . aussehen könnte".

einer Fundanzeige bei einem Virenscan zu mistraue n.ge (z. Nun ja.. da gepackte Datei?" .Trainer der Gruppe PIZZA/PIZZADOX Ab und zu enthalten die Trainer dieser Gruppe Signaturen.gen!90 (suspicious) (Webwasher-Gateway) BehavesLike:. Aber Hallo! Hauptsache eine Meldung m achen. DLH. im Spiel. bestimmte Files unter so eine Art Generalverdacht zu stellen.AID (AVG) suspicious Trojan/Worm (eSafe. aber (was Trainer von DLH. sie erscheinen dann als Worm. wenn nicht seinem Virenscanner? Aber es ist nun mal so .Win32.Mytob.. Teilweise sind das überhaupt keine Viren-Warnmeldungen.N (Ikarus) oder W32/Suspicious_M.bw (Ikarus und TheHacker.Win32. dass es auch unter den Virenprogrammen einen Wettbewerb gibt und das Proggi. Ewido hat immerhin gemeldet.Generelle Verdächtigungen Der neuste Trend bei diversen AVPs geht dahin.Delf. noch mehr Panik. Hey. Sybari). ja es gibt AVPs. Hier einige Scan-Ergebnisse. (BitDefender) could be a corrupted executable file (Authentium) --Ich weiß. wem kann man noch trauen. Ve rmutlich sehen die benutzten Codes wieder nur so aus.B. das kommt so ziemlich bei jedem DLH-File) Not-A-Virus.HackTool. das die mei sten Viren . gleiche Meldung.Win32.Delf.ModifiedUPX.. die weisen fast jedes gescannte EXE -File als verdächtig aus. die ab und zu auf treten. dass dieser Fund kein Virus ist) Win32.bw (Ewido. es ist ganz schwierig. das tun sie auch . dass diese Trojaner NICHT in den Trainern vorhanden sind.Ich meine: Hey was soll das? Warum schreibt Ihr nicht einfach : "Kann nicht gesc annt werden. die von einigen Virens cannern beanstandet werden.Net angeht) nur Panikmache sind: Win-Trojan/Xema. als würden sie ein Hintertürchen aufmac hen.Ciadoor.variant (AhnLab-V3) Potentially harmful program HackTool. sondern irgendwelche Analyse-Nachrichten. .. aber nicht im Betriebssystem.Net versichert. Backdoor.FN (ClaimAV). auch wenn sie im Virensinne noch so sinnlos ist) HackTool.

Net haben überhaupt keinen Einfluss darauf.Net-Chief . was leider häufig nicht der Fall i st. ich würde mich allerdings fr euen. was wir euch vorse tzen und mailt mir ruhig an bw@dlh. Das hat niemand in unserer Redaktion verdient. häufig aber bleiben wir ungehört. hat nun mal gute Karten beim Käufer.net.virustotal. Manchmal bekommen wir recht. Wenn jemand mal testen will. der lade seine Datei hier hoch: http://www. Deswegen danke ich euch dafür.com Euer Bernd 'BigB' Wolffgramm Updated 17. Webseiten wie DLH. dass ihr weiter aufmerksam seid.12. was als Trojaner deklariert wird. wenn ihr etwas findet. wenn ihr euch nicht im Tonfall vergreifen würdet.2007 __________________ Bernd Wolffgramm DLH.erkennt. also tut bitte nicht so. also würden wir absichtlich oder fahrlässig han deln. Bei einer Millionen Visits im Monat nehmen wir unsere Verantwortung euch gegenüber schon sehr ernst. ob die Meinung des verwendeten Virenscanners von an deren Programmen geteilt wird.

Sign up to vote on this title
UsefulNot useful