Vorsicht!!! Trojan in Elverions RoM Bot

Nachdem mein Account gehackt wurde, habe ich meinen Rechner mit verschiedenen Virusprogrammen gecheckt. Dabei wurde im Ordner von Elverions RoM Bot ein Trojanischen Pferd entdeckt.

Die genaue Bezeichnung ist Trojan-GameThief.32Nilage.hhl

Du darfst mal den Bot in VirusTotal scannen und uns dann den Link posten.
[Only registered and activated users can see links. Click Here To Register...]
Soweit ich weis, hat das nur Kaspersky und TrendMikro die beiden erkennen sogut wie überall etwas.

Das ist aber nett, dass ich das darf. Aber warum sollte ich das tun? Du hast bestimmt Hintergrundwissen und weisst, was der Sinn davon ist, ich aber nicht.

Ich habe den Bot mit Kaspersky gescannt und dabei diese Meldung bekommen.

Den Link habe ich selbst schon gepostet, nur Kaspersky zeigt ein Virus wie bei alles anderem auch.

Habe die Datei mal mit Virus Total gescannt, dabei wurde nichts gefunden. Mit Antivir auch nicht.

Nur heisst das jetzt, nur weil die Programme nichts finden, dass die Datei sicher ist, bzw. das Kaspersky Daten anzeigt die nicht fehlerhaft sind?

Wie gesagt, mein Account wurde gehackt, und ich kann mir nicht vorstellen, woran das sonst liegen kann.

Quote:

Originally Posted by udo182 Habe die Datein mal mit Virus Total gescannt, da wurde nichts gefunden. Mit Antivir auch nicht. Nur heisst das, nur weil die Programme nichts finden, dass die Datei sicher ist, bzw. das Kaspersky Daten anzeigt die nicht fehlerhaft sind? Wie gesagt, mein Account wurde gehackt, und ich kann mir nicht vorstellen, woran das sonst liegen kann.

Der Bot ist komplett Open Source. Es können sich keine Trojaner einschleichen.

Es wäre toll wenn du den Namen der Datei posten würdest die das AntiVirus ausgelößt hat, dass sind schon schlimme Anschuldigungen.

Außerdem halte ich es für sehr fragwürdig wenn Kaspersky irgendwas beim Bot finden sollte, immerhin sind alle Dateien nur LUA Scripts und können garkeine Login Daten klauen oder sonst was.

Quote:

Originally Posted by Atheuz Der Bot ist komplett Open Source. Es können sich keine Trojaner einschleichen. Es wäre toll wenn du den Namen der Datei posten würdest die das AntiVirus ausgelößt hat, dass sind schon schlimme Anschuldigungen. Außerdem halte ich es für sehr fragwürdig wenn Kaspersky irgendwas beim Bot finden sollte, immerhin sind alle Dateien nur LUA Scripts. Edit: soo gegoogelt, die Virusmeldung von dir kam nicht von dem Bot, sondern von dem hier: [Only registered and activated users can see links. Click Here To Register...]

In Elverion wird auch nur das gezeigt von Kaspersky

Quote:

Trojan-GameThief.Win32.Nilage.hhl

Ist aber trotzdem kein Virus nur weil Kaspersky wieder alles so genau prüft und als Virus erkennt.

Quote:

Originally Posted by Drewfire In Elverion wird auch nur das gezeigt von Kaspersky Ist aber trotzdem kein Virus nur weil Kaspersky wieder alles so genau prüft und als Virus erkennt.

Ja hatte deinen Beitrag nicht gelesen gehabt, hatte es nun etwas bearbeitet.
Wer Kaspersky hat sollte mal es im gepackten Zustand und entpackt scannen lassen, immerhin kann kein LUA script sowas.

Edit: Soo meinen Ordner hab ich auch gepackt
[Only registered and activated users can see links. Click Here To Register...] - Ohne Ergebnis


Übrigens, wieso sind die Dateien von Drewfire mit UPX gepackt?

Quote:

Originally Posted by Atheuz Ja hatte deinen Beitrag nicht gelesen gehabt, hatte es nun etwas bearbeitet. Wer Kaspersky hat sollte mal es im gepackten Zustand und entpackt scannen lassen, immerhin kann kein LUA script sowas. Edit: Soo meinen Ordner hab ich auch gepackt [Only registered and activated users can see links. Click Here To Register...] - Ohne Ergebnis Übrigens, wieso sind die Dateien von Drewfire mit UPX gepackt?

Die Frage kann ich mir auch nicht beantworten, dann liegt es wohl wahrscheinlich am Format.

@udo182
Warscheinlich das Scamtool ... ähhh ...ich meine den *Bot* aus einem Link in nem YouTube-video gesaugt ... und selbst wenn der Bot von der offizellen Seite kommt bedeutet einen Virusscan garnix, denn wie Atheuz bereits sagte:

Quote:

Der Bot ist komplett Open Source.

Werfe lieber mal einen Blick in den Sourcecode anstatt so eine Welle zu machen.

Quote:

Übrigens, wieso sind die Dateien von Drewfire mit UPX gepackt?

Damit jeder 0815 Virenscanner vom PE Packer getriggert wird und infolge noch mehr Beträge vom Thema "mimimi aaahhh viruz!!!1111" auftauchen :D wozu sonnst? *hust*

run32.dll ich wüsste auch nicht wieso meins ein UPX Format hat.

@run32.dll:

Welche ein qualifizierter Beitrag von dir.

Der Bot ist von der offiziellen Seite, und eine Welle schiebe ich hier auch nicht. Ich habe lediglich drauf hingewiesen, dass der Virenscanner Kaspersky einen Trojaner meldet.

Also hättest du dir deinen Beitrag mal gut sparen können.

Quote:

Originally Posted by udo182 @run32.dll: Welche ein qualifizierter Beitrag von dir. Der Bot ist von der offiziellen Seite, und eine Welle schiebe ich hier auch nicht. Ich habe lediglich drauf hingewiesen, dass der Virenscanner Kaspersky einen Trojaner meldet. Also hättest du dir deinen Beitrag mal gut sparen können.

Du hast darauf hingewiesen das dein Account gehackt wurde und du nur bei dem Bot einen Trojaner gefunden hast. Das sind zwei völlig verschiedene Dinge die du behauptest.

Sooo also nach etwas rumprobieren komm ich auch nicht auf das Rätsels Lösung, Drewfire seine Dateien sind UPX gepackt aus irgendeinen Grund und das einzigste Resultat was ich erzwingen kann ist ein Winrar SFX Archiv zu machen, dann bekomm ich von VirusTotal:

F-Secure 9.0.15370.0 2010.06.12 Suspicious:W32/Malware!Gemini

@Drewfire
Ich weiß nicht um welches prog. es geht ... ist es vielleicht etwas das auf AutoIT basiert? Den das packt soweit ich weiß automatisch per UPX. Ob man das dort abstellen kann weiß ich nicht (verwende AutoIT nicht).

Aber wenn man die UPX Kompression deaktivieren kann würde ich das tun wenn man es public macht. Es gibt einfach zu viele AV-tools die den Packer als 'bösartig' erkennen und schon bricht eine "ahhh viruz" Diskussion aus. AutoIT verwendet UPX vermutlich aus performancegründen. Die erstellten exe-(cutables) sind sehr groß. Festplatten sind langsam. Deswegen ist es bei modernen PCs schneller eine 500KB Datei von der Festplatte zu lesen und erst zu entpacken und dann auszuführen anstatt 3MB von der Festplatte zu lesen und sie direkt auszuführen.

edit: wenns nicht AutoIT vergiss das alles, bin etwas abgeschweift

@udo182
Ich bin mir sicher die Virusmeldung war gut gemeint. Tatsache ist aber es IST Panikmache und schädigt auch den Ruf eines solchen Projektes. (Was ich im übrigen sehr gut finde.) 'OpenSource' sagt eigentlich alles und ist auch genau der Grund warum es defenitiv Panikmache ist ... den DU hast dich nicht ausreichend informiert und diese Virusmeldung nur aufgrund mangeldem Wissen verfasst. Luascript ist wirklich nicht gerade schwer und ein Blick in den Sourcecode hätte gereicht. Aber warscheinlich rede ich hier wie so oft gegen eine Wand, 'OpenSource' und dessen Bedeuting(!) wird nur von den wenigsten Leuten verstanden ... leider ... sieht man ja an der von Microsoft dominierten Computerwelt ... aber das ist eine anderes Thema.

so kein bock mehr, bin zocken

@run32.dll

Ich finde das Projekt auch sehr gut.

Da ich allerdings keine Ahnung von dem ganzen habe (absoluter Laie), fand ich es sinnvoll die Virusmeldung hier mal bekannt zu geben.

Und wenn sich durch eure Beiträge die Virusmeldung als unbegründet herrausstellt, ist es doch auch nur gut für weitere Nutzer.

Danke und bin auch zocken