Trojaner im DLH98 / auf DLH.Net?

Ich würde gern mal einen offiziellen Info-Thread zu diesem Thema eröffnen, weil wir in letzter Zeit wieder verstärkt Anfragen bekommen, was es mit den Virenmeldungen diverser Virenscanner bei DLH98-Modulen und DLH.Net auf sich hat. Also mal vorweg: Wir prüfen natürlich jede Datei auf Viren, bevor wir sie online stellen. Allerdings haben Cheatdateien - und hier ganz besonders Trainer - eben die Angewohnheit, dass sie andere Dateien verändern sollen, eben den Cheateffekt auslösen sollen und das sieht dann schon ziemlich trojanermäßig aus. Man spricht dann von einem sog. „False Positive“. Im Augenblick sollten verschiedene Scanner in den Modulen bei verschiedenen vermeintlichen Trojanern anschlagen:

- Trojan.Keylogger.HotKeysHook.A - die berühmteste Falschmeldung

Vor einigen Jahren wurde diese Datei von der Virensoftware AVP fälschlicherweise als Trojaner klassifiziert, nach zwei Tagen aber wieder entfernt (auch auf meine Intervention hin übrigens). Da viele kleinere Antivirenprogramme einfach deren Datenbank übernehmen, verbreitete sich diese Missmeldung rasend schnell, leider haben nicht alle Programme das Virenmuster wieder entfernt (die meisten haben es allerdings getan). Dummerweise haben gerade in letzter Zeit einige Scanner die Meldung wieder aufgenommen. Also hier noch mal ganz deutlich: Die weltweit am weitesten verbreitete Trainer-Erstellungs-Software TMK Trainer Maker Kit 1.5 benutzt einen Algorithmus, der aussieht wie ein Keylogger. Ist ja auch irgendwie einsichtlich, denn letztlich machen Trainer nichts anderes als Tastenanschläge in ein Programm zu übertragen. Ich vermute mal, jeder, der schon mal einen Trainer dieser Art benutzt hat, hat die dazugehörige Datei H@tKeysH@@k.DLL im Windows/System32-Ordner liegen. Sieht piratenmäßig aus, ist aber kein Sicherheitsrisiko.
Neuerdings heißt der "Trojaner" auch: TR/Hotkeys.B.1, Win32.KeyLogger.HatKeys, W32/Keylogger.BQ oder HotKeys Hook.

Z. Zt. wird diese Fehlermeldung verbreitet von Bitdefender, Ad-Aware

- TR/Interlac.10.B

Wir gehen bisher ganz fest davon aus, dass es sich bei den Funden in den Trainern NICHT um den angezeigten Trojaner handelt, und zwar aus folgenden Gründen:

- Der angezeigte Trojaner wurde im November 2004 erstmals entdeckt, wird aber von AntiVir auch in Dateien entdeckt, die aus dem Juni 2003 stammen. In der heutigen Zeit ist es nicht anzunehmen, dass ein Trojaner jahrelang unentdeckt bleibt.
- Der Trojaner wird in Dateien entdeckt, die von uns selbst programmiert worden sind, also 100-
prozentig virenfrei sind.
- Der echte Trojaner würde von einer Vielzahl von Programmen gefunden werden, die man hier einsehen kann. Keines der genannten Programme findet den Trojaner in den vermeintlich verseuchten Dateien.
- In mutigen Selbstversuchen wurde keiner der einem Interlac.10.b-Trojaner zugeschriebenen Effekte ausgelöst.
Wir haben AntiVir von unseren Erfahrungen Meldung gemacht, bisher haben wir keine Stellungnahme bekommen.

Z. Zt. wird diese Fehlermeldung verbreitet ausschließlich von AntiVir.

- Bck/Delf.NJ

Dieser angebliche Trojaner soll in einem uralten Modul vom DLH98 gefunden werden, in 0998.dlm. Es handelt sich definitiv nicht um den angezeigten Trojaner, und zwar aus folgenden Gründen:

- Bis jetzt wurde die Datei von keinem Virenscanner als kontaminiert gemeldet und jetzt, sieben Jahre nach der Erstellung des Trainers, soll sie plötzlich verseucht sein?

- Der angebliche Trojaner wird in einer Datei entdeckt, die von Freunden extra für DLH.Net programmiert wurde. DLH.Net hat diese Datei ohne Umwege direkt erhalten.

- Bei dem angeblich befallenen Programm handelt es sich um einen sog. Freezer, der sich resistent in das Memory setzt und dann bei Bedarf andere Dateien nachlädt. Das könnte fälschlicherweise als Trojaner interpretiert werden.

- Keine Virendatenbank beschreibt den Bck/Delf.NJ, es ist also zu vermuten, dass es sich hierbei - wie so oft - nur um eine „False Positive“-Meldung handelt.

Z. Zt. wird die Meldung bei der Datei STARV10.exe aus dem Modul 0998 (Trainer Star Command Deluxe vom Sept.1998) verbreitet von Panda Platinum Internet Security 2005.

- Trojan Horse

Seit dem Modul 0205 attestiert uns die Symantec Norton Internet Security ein 'Trojan Horse' in mehr als 50 Trainern.
Den Virus/Trojaner 'Trojan Horse' gibt es eigentlich gar nicht, wer sich gern mal die Infosite dazu bei Symantec ansehen will. Beachtet nun hier die Bereiche Damage (Schaden) und Distribution (Verteilung), überall steht n/a, das bedeutet so viel wie nicht vorhanden/nicht bekannt. Trojan Horse ist wieder mal eine reine Panikmache, weil vermutlich in den Trainern, mal wieder eine Code-Struktur gefunden wurde, die "wie ein Trojaner o. Ä. aussehen könnte". Ist aber definitiv kein Virus/Trojaner. Keiner der angesehenen anderen Virenscanner findet hier auch nur den Fitzel eines Trojaners.

Z. Zt. wird diese Irrmeldung verbreitet von Symantec Norton Internet Security und wird zum Beispiel in allen Trainern der Gruppe CHEATERS (cht-*.exe) gefunden (die seit einiger Zeit nicht mehr tätig ist).

- PCK/MEW und Packer

Wenn man bei bestimmten Antivirenprogrammen alle möglichen Heuristiksuchen aktiviert, dann zeigen sie auch Codes als möglichen Trojaner oder Virus an, die sie einfach nicht verstehen oder wo sie den Code nicht entpacken können. Einige Programmierer benutzen ein Programm namens MEW, um ihren Code zu optimieren bzw. zu verbergen. Natürlich bedeutet das NICHT, das ein optimierter Code auch ein Virus/Trojaner sein muss. Leider ist MEW in der Trainermachergilde weit verbreitet. ähnlich ist es bei den Meldungen, die z.B. als Mal/Packer oder New Malware.n vermeldet werden.

Z. Zt. wird diese unnötige Panik (unter Umständen) verbreitet von AntiVir und Avira (MEW) oder Sophos und McAfee (Packer)

Leider hat sich die Trainer-Gruppe Brewers auch angewöhnt, so zu coden. dass alle diese Packer/Heuristic-Meldungen
aufpoppen, vor allem bei AntiVir. Wir sind uns aber 100%ig sicher, dass die Dinger Malware-frei sind.
Und noch ein paar Meldungen, die auch in diese Kategorie gehören und die sinnloserweise neuerdings gemacht wurden:

(Suspicious) – DNAScan
PUA.Packed.UPack-2
W32/Heuristic-162!Eldorado
New Malware.aj
W32/Suspicious_U.gen
Mal/Packer
VIPRE.Suspicious
W32/Behav-Heuristic-060
Packed/Upack
Win32.Malware.gen (suspicious)
Heuristic: Suspicious Self Modifying EXE
Win32.Malware.gen#PECompact!92 (suspicious)

Ich meine: Hey was soll das? Warum schreibt Ihr nicht einfach : "Kann nicht gescannt werden, da gepackte Datei?"

- Trainer der Gruppen PIZZA/PIZZADOX

Ab und zu enthalten die Trainer dieser Gruppe Signaturen, die von einigen Virenscannern beanstandet werden, sie erscheinen dann als Worm.Mytob.FN (ClaimAV), Backdoor.Win32.Ciadoor.N (Ikarus) oder W32/Suspicious_M.ge (z.B. Sybari).

DLH.Net versichert, dass diese Trojaner NICHT in den Trainern vorhanden sind. Vermutlich sehen die benutzten Codes wieder nur so aus, als würden sie ein Hintertürchen aufmachen. Nun ja, das tun sie auch ... im Spiel, aber nicht im Betriebssystem.

- Trainer von Megadev/CCJ39

Megadev produziert mit dem MT-X und MD-SGM zwei Multitrainer, die auch in die Fänge der AV-Tools geraten sind, die aber zu 100 Prozent virenfrei sind, Mittlerweile ist diese Problem gelöst, einfach die letzte Version des Megatrainers herunterladen, dort sind die alten Cheats enthalten … ohne Viren-Alarm.

- Trainer der Gruppen Brewers und Outlaws

Trainer dieser Gruppen enthalten gaaaaaanz viele Codes, die gern von Virenscannern als Trojaner, Virus oder was auch immer erkannt werden. Auch hier gilt: Es sind keine Schadcodes in den Trainer vorhanden. Besonders AntiVir ist sehr nervös bei den Trainern dieser Gruppen, betroffen sind immer nur die Dateien brewers.exe und outlaws.exe, die anders bezeichneten Programme dieser Gruppen sind fast immer fundstellenfrei.

- Generelle Verdächtigungen

Der neuste Trend bei diversen AVPs geht dahin, bestimmte Files unter so eine Art Generalverdacht zu stellen, ja es gibt AVPs, die weisen fast jedes gescannte EXE-File als verdächtig aus. Teilweise sind das überhaupt keine Viren-Warnmeldungen, sondern irgendwelche Analyse-Nachrichten. Hier einige Scan-Ergebnisse, die ab und zu auftreten, aber (was Trainer von DLH.Net angeht) nur Panikmache sind:
Win-Trojan/Xema.variant (AhnLab-V3)
Potentially harmful program HackTool.AID (AVG)
suspicious Trojan/Worm (eSafe, das kommt so ziemlich bei jedem DLH-File)
Not-A-Virus.HackTool.Win32.Delf.bw (Ewido; Aber Hallo! Hauptsache eine Meldung machen,
auch wenn sie im Virensinne noch so sinnlos ist)
HackTool.Win32.Delf.bw (Ikarus und TheHacker, gleiche Meldung, noch mehr Panik, Ewido hat immerhin gemeldet, dass dieser Fund kein Virus ist)
Win32.ModifiedUPX.gen!90 (suspicious) (Webwasher-Gateway)
BehavesLike:... (BitDefender)
could be a corrupted executable file (Authentium)

- Das G-Data Problem

Neuerdings (seit Oktober 2012) gibt es bei den Virenscannern von G-Data folgende Meldung auf der Newsseite:
Gefunden: Adware.JS.Agent.G
Offensichtlich handelt es sich um eine Meldung, die sich auf irgendeinen Add-Server (Bannersteuerung, auf die wir keinen Einfluss haben) Und da kommt man nicht mehr raus, auch wenn es sich auch wieder um ein "False Positive" handelt. Einmal indiziert, kann man dann in Zukunft nicht mehr auf alle Seiten mit dlh.net in der URL zugreifen. Man entkommt der Indizierung nur, wenn man eine Ausnahmeregel eingibt:
G-Data Center öffnen : Einstellungen - Webschutz - Kasten Internetinhalte - Ausnahmen - Neu - und hier "dlh.net" eintragen.

Das ist an dieser Stelle natürlich sehr sinnvoll zu erwähnen, denn schließlich kann man gar nicht mehr auf dieses Forum zugreifen. Aber Google wird es aufnehmen, hoffentlich bekommt man die Info so auch.


---

Ich weiß, es ist ganz schwierig, einer Fundanzeige bei einem Virenscan zu mistrauen. Hey, wem kann man noch trauen, wenn nicht seinem Virenscanner? Aber es ist nun mal so, dass es auch unter den Virenprogrammen einen Wettbewerb gibt und das Proggi, das die meisten Viren erkennt, hat nun mal gute Karten beim Käufer. Webseiten wie DLH.Net haben überhaupt keinen Einfluss darauf, was als Trojaner deklariert wird. Manchmal bekommen wir recht, häufig aber bleiben wir ungehört.

Deswegen danke ich euch dafür, dass ihr weiter aufmerksam seid, was wir euch vorsetzen und mailt mir ruhig an bw@dlh.net, wenn ihr etwas findet, ich würde mich allerdings freuen, wenn ihr euch nicht im Tonfall vergreifen würdet, was leider häufig nicht der Fall ist. Bei Millionen Seitenaufrufen im Monat nehmen wir unsere Verantwortung euch gegenüber schon sehr ernst, also tut bitte nicht so, also würden wir absichtlich oder fahrlässig handeln. Das hat niemand in unserer Redaktion verdient.

Wenn jemand mal testen will, ob die Meinung des verwendeten Virenscanners von anderen Programmen geteilt wird, der lade seine Datei hier hoch:

http://www.virustotal.com

Hier kann die Seite auch online gescannt werden.

Euer Bernd 'BigB' Wolffgramm

Updated: 09. 11. 2012