Register for your free account! | Forgot your password?

Go Back   elitepvpers > General Gaming > General Gaming Discussion
You last visited: Today at 11:46

  • Please register to post and access all features, it's quick, easy and FREE!

 

Vorsicht!!! Trojan in Elverions RoM Bot

Closed Thread
 
Old   #1
 
elite*gold: 0
Join Date: Sep 2009
Posts: 5
Received Thanks: 0
Vorsicht!!! Trojan in Elverions RoM Bot

Nachdem mein Account gehackt wurde, habe ich meinen Rechner mit verschiedenen Virusprogrammen gecheckt. Dabei wurde im Ordner von Elverions RoM Bot ein Trojanischen Pferd entdeckt.

Die genaue Bezeichnung ist Trojan-GameThief.32Nilage.hhl



udo182 is offline  
Old   #2
 
elite*gold: 24
Join Date: Apr 2010
Posts: 36,075
Received Thanks: 6,346
Du darfst mal den Bot in VirusTotal scannen und uns dann den Link posten.

Soweit ich weis, hat das nur Kaspersky und TrendMikro die beiden erkennen sogut wie überall etwas.


Drewfire is offline  
Old   #3
 
elite*gold: 0
Join Date: Sep 2009
Posts: 5
Received Thanks: 0
Das ist aber nett, dass ich das darf. Aber warum sollte ich das tun? Du hast bestimmt Hintergrundwissen und weisst, was der Sinn davon ist, ich aber nicht.

Ich habe den Bot mit Kaspersky gescannt und dabei diese Meldung bekommen.
udo182 is offline  
Old   #4
 
elite*gold: 24
Join Date: Apr 2010
Posts: 36,075
Received Thanks: 6,346
Den Link habe ich selbst schon gepostet, nur Kaspersky zeigt ein Virus wie bei alles anderem auch.


Drewfire is offline  
Old   #5
 
elite*gold: 0
Join Date: Sep 2009
Posts: 5
Received Thanks: 0
Habe die Datei mal mit Virus Total gescannt, dabei wurde nichts gefunden. Mit Antivir auch nicht.

Nur heisst das jetzt, nur weil die Programme nichts finden, dass die Datei sicher ist, bzw. das Kaspersky Daten anzeigt die nicht fehlerhaft sind?

Wie gesagt, mein Account wurde gehackt, und ich kann mir nicht vorstellen, woran das sonst liegen kann.
udo182 is offline  
Old   #6
 
elite*gold: 81
Join Date: Jul 2005
Posts: 1,927
Received Thanks: 2,239
Quote:
Originally Posted by udo182 View Post
Habe die Datein mal mit Virus Total gescannt, da wurde nichts gefunden. Mit Antivir auch nicht.

Nur heisst das, nur weil die Programme nichts finden, dass die Datei sicher ist, bzw. das Kaspersky Daten anzeigt die nicht fehlerhaft sind?

Wie gesagt, mein Account wurde gehackt, und ich kann mir nicht vorstellen, woran das sonst liegen kann.
Der Bot ist komplett Open Source. Es können sich keine Trojaner einschleichen.

Es wäre toll wenn du den Namen der Datei posten würdest die das AntiVirus ausgelößt hat, dass sind schon schlimme Anschuldigungen.

Außerdem halte ich es für sehr fragwürdig wenn Kaspersky irgendwas beim Bot finden sollte, immerhin sind alle Dateien nur LUA Scripts und können garkeine Login Daten klauen oder sonst was.
Atheuz is offline  
Old   #7
 
elite*gold: 24
Join Date: Apr 2010
Posts: 36,075
Received Thanks: 6,346
Quote:
Originally Posted by Atheuz View Post
Der Bot ist komplett Open Source. Es können sich keine Trojaner einschleichen.

Es wäre toll wenn du den Namen der Datei posten würdest die das AntiVirus ausgelößt hat, dass sind schon schlimme Anschuldigungen.

Außerdem halte ich es für sehr fragwürdig wenn Kaspersky irgendwas beim Bot finden sollte, immerhin sind alle Dateien nur LUA Scripts.

Edit: soo gegoogelt, die Virusmeldung von dir kam nicht von dem Bot, sondern von dem hier:
In Elverion wird auch nur das gezeigt von Kaspersky
Quote:
Trojan-GameThief.Win32.Nilage.hhl
Ist aber trotzdem kein Virus nur weil Kaspersky wieder alles so genau prüft und als Virus erkennt.
Drewfire is offline  
Old   #8
 
elite*gold: 81
Join Date: Jul 2005
Posts: 1,927
Received Thanks: 2,239
Quote:
Originally Posted by Drewfire View Post
In Elverion wird auch nur das gezeigt von Kaspersky

Ist aber trotzdem kein Virus nur weil Kaspersky wieder alles so genau prüft und als Virus erkennt.
Ja hatte deinen Beitrag nicht gelesen gehabt, hatte es nun etwas bearbeitet.
Wer Kaspersky hat sollte mal es im gepackten Zustand und entpackt scannen lassen, immerhin kann kein LUA script sowas.

Edit: Soo meinen Ordner hab ich auch gepackt
- Ohne Ergebnis


Übrigens, wieso sind die Dateien von Drewfire mit UPX gepackt?
Atheuz is offline  
Old   #9
 
elite*gold: 24
Join Date: Apr 2010
Posts: 36,075
Received Thanks: 6,346
Quote:
Originally Posted by Atheuz View Post
Ja hatte deinen Beitrag nicht gelesen gehabt, hatte es nun etwas bearbeitet.
Wer Kaspersky hat sollte mal es im gepackten Zustand und entpackt scannen lassen, immerhin kann kein LUA script sowas.

Edit: Soo meinen Ordner hab ich auch gepackt
- Ohne Ergebnis


Übrigens, wieso sind die Dateien von Drewfire mit UPX gepackt?
Die Frage kann ich mir auch nicht beantworten, dann liegt es wohl wahrscheinlich am Format.
Drewfire is offline  
Old   #10
 
elite*gold: 0
Join Date: Jan 2007
Posts: 126
Received Thanks: 83
@udo182
Warscheinlich das Scamtool ... ähhh ...ich meine den *Bot* aus einem Link in nem YouTube-video gesaugt ... und selbst wenn der Bot von der offizellen Seite kommt bedeutet einen Virusscan garnix, denn wie Atheuz bereits sagte:
Quote:
Der Bot ist komplett Open Source.
Werfe lieber mal einen Blick in den Sourcecode anstatt so eine Welle zu machen.

Quote:
Übrigens, wieso sind die Dateien von Drewfire mit UPX gepackt?
Damit jeder 0815 Virenscanner vom PE Packer getriggert wird und infolge noch mehr Beträge vom Thema "mimimi aaahhh viruz!!!1111" auftauchen wozu sonnst? *hust*
run32.dll is offline  
Old   #11
 
elite*gold: 24
Join Date: Apr 2010
Posts: 36,075
Received Thanks: 6,346
run32.dll ich wüsste auch nicht wieso meins ein UPX Format hat.
Drewfire is offline  
Old   #12
 
elite*gold: 0
Join Date: Sep 2009
Posts: 5
Received Thanks: 0
@run32.dll:

Welche ein qualifizierter Beitrag von dir.

Der Bot ist von der offiziellen Seite, und eine Welle schiebe ich hier auch nicht. Ich habe lediglich drauf hingewiesen, dass der Virenscanner Kaspersky einen Trojaner meldet.

Also hättest du dir deinen Beitrag mal gut sparen können.
udo182 is offline  
Old   #13
 
elite*gold: 81
Join Date: Jul 2005
Posts: 1,927
Received Thanks: 2,239
Quote:
Originally Posted by udo182 View Post
@run32.dll:

Welche ein qualifizierter Beitrag von dir.

Der Bot ist von der offiziellen Seite, und eine Welle schiebe ich hier auch nicht. Ich habe lediglich drauf hingewiesen, dass der Virenscanner Kaspersky einen Trojaner meldet.

Also hättest du dir deinen Beitrag mal gut sparen können.
Du hast darauf hingewiesen das dein Account gehackt wurde und du nur bei dem Bot einen Trojaner gefunden hast. Das sind zwei völlig verschiedene Dinge die du behauptest.

Sooo also nach etwas rumprobieren komm ich auch nicht auf das Rätsels Lösung, Drewfire seine Dateien sind UPX gepackt aus irgendeinen Grund und das einzigste Resultat was ich erzwingen kann ist ein Winrar SFX Archiv zu machen, dann bekomm ich von VirusTotal:

F-Secure 9.0.15370.0 2010.06.12 Suspicious:W32/Malware!Gemini
Atheuz is offline  
Old   #14
 
elite*gold: 0
Join Date: Jan 2007
Posts: 126
Received Thanks: 83
@Drewfire
Ich weiß nicht um welches prog. es geht ... ist es vielleicht etwas das auf AutoIT basiert? Den das packt soweit ich weiß automatisch per UPX. Ob man das dort abstellen kann weiß ich nicht (verwende AutoIT nicht).

Aber wenn man die UPX Kompression deaktivieren kann würde ich das tun wenn man es public macht. Es gibt einfach zu viele AV-tools die den Packer als 'bösartig' erkennen und schon bricht eine "ahhh viruz" Diskussion aus. AutoIT verwendet UPX vermutlich aus performancegründen. Die erstellten exe-(cutables) sind sehr groß. Festplatten sind langsam. Deswegen ist es bei modernen PCs schneller eine 500KB Datei von der Festplatte zu lesen und erst zu entpacken und dann auszuführen anstatt 3MB von der Festplatte zu lesen und sie direkt auszuführen.

edit: wenns nicht AutoIT vergiss das alles, bin etwas abgeschweift

@udo182
Ich bin mir sicher die Virusmeldung war gut gemeint. Tatsache ist aber es IST Panikmache und schädigt auch den Ruf eines solchen Projektes. (Was ich im übrigen sehr gut finde.) 'OpenSource' sagt eigentlich alles und ist auch genau der Grund warum es defenitiv Panikmache ist ... den DU hast dich nicht ausreichend informiert und diese Virusmeldung nur aufgrund mangeldem Wissen verfasst. Luascript ist wirklich nicht gerade schwer und ein Blick in den Sourcecode hätte gereicht. Aber warscheinlich rede ich hier wie so oft gegen eine Wand, 'OpenSource' und dessen Bedeuting(!) wird nur von den wenigsten Leuten verstanden ... leider ... sieht man ja an der von Microsoft dominierten Computerwelt ... aber das ist eine anderes Thema.

so kein bock mehr, bin zocken
run32.dll is offline  
Thanks
1 User
Old   #15
 
elite*gold: 0
Join Date: Sep 2009
Posts: 5
Received Thanks: 0
@run32.dll

Ich finde das Projekt auch sehr gut.

Da ich allerdings keine Ahnung von dem ganzen habe (absoluter Laie), fand ich es sinnvoll die Virusmeldung hier mal bekannt zu geben.

Und wenn sich durch eure Beiträge die Virusmeldung als unbegründet herrausstellt, ist es doch auch nur gut für weitere Nutzer.

Danke und bin auch zocken


udo182 is offline  
Closed Thread



« Previous Thread | Next Thread »

Similar Threads
s>water,trojan 126 or t>for trojan no rb or trojan warrior in BlueBird
s>water,trojan 126 or t>for trojan no rb or trojan warrior in BlueBird
2 Replies - Conquer Online 2 Trading
[N]S>TROJAN TROJAN TROJAN [Constellation/Virgo] [/N]
S>Trojan Trojan Trojan Lvl 130-130-133 Armor lvl 120 +6 2Socks 2 Sdg's -3dmg Coro lvl 120 +7 2Socks 2 Sdg's Neck lvl 130 +6 2socks 2 Sdg's...
2 Replies - Conquer Online 2 Trading



All times are GMT +1. The time now is 11:46.


Powered by vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy
Copyright ©2016 elitepvpers All Rights Reserved.