Aug 28

PIC04402011.JPG.scr Virus bleibt von meisten Scannern unerkannt

Allgemeines 2 Comments »

Heute Abend hat sich über Facebook eine Bekannte den obigen Virus eingefangen, der im Chat unter der URL http://www.facebook.com/l/EUrRe;bit.ly/qVZkY8#L2pFE von einem infiziertem Rechner eines Ihr Bekannten Facebook Kontakte gepostet wurde.

Dies ist ein als Bild getarnter Link, welche eine .scr Datei (Windows Bildschirmschoner) runterlädt und ausführt. Wenn dann noch das ICQ aktuell läuft und man online ist, werden darüber an alle Online-Kontakte im ICQ folgende Nachrichten verschickt:

das foto solltest du wirklich sehen
http://www.diffazur.ma/oh/images/gallery.php?foto=PIC04402011.JPG

und etwas später dann:

un was maso will ich nicht aussehen wenn ich alt bin
http://www.diffazur.ma/oh/images/gallery.php?foto=PIC04402011.JPG

Leider erkennen die meisten aktuellen Virenscanner den Virus nicht, so auch der auf dem Rechner installierte und aktuelle Panda Antivirus 2012 welcher Stand heute (28.08.2011) den Virus NICHT erkennt! :(

Also habe ich im Internet gegoogelt und versucht die Datei über Kaspersky zu identifizieren, Ergebniss:

Zu überprüfende Datei: PIC04402011.JPG.scr

Statistiken:
Bekannte Viren: 6066204 Updated: 28-08-2011
Größe der Datei (Kb): 205 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Fehlanzeige, unbekannt! Also 2. Versuch unter www.virustotal.com und schau da folgendes Ergebniss:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 8a53b323121c5dcda626cae2998db715
Date first seen: 2011-08-28 18:00:28 (UTC)
Date last seen: 2011-08-28 19:30:23 (UTC)
Detection ratio: 4/44

File name: PIC04402011.JPG.scr
Submission date: 2011-08-28 18:24:04 (UTC)
Current status: finished
Result: 4 /44 (9.1%)

...
Kaspersky 9.0.0.837 2011.08.28 UDS:DangerousObject.Multi.Generic
McAfee-GW-Edition 2010.1D 2011.08.28 Heuristic.LooksLike.Win32.Suspicious.J
NOD32 6418 2011.08.28 a variant of Win32/Injector.IWV
Sophos 4.68.0 2011.08.28 Mal/EncPk-AAQ
...

Der vollständige Report von www.virustotal.com.

Was bei dem Report verwirrend ist, das hier Kaspersky den Virus kennt, warum dann nicht der Online FileScan auf der Webseite?

Das erschreckende ist aber, dass von 44 Virenscannern nur 4 diesen auch erkennen!

Mein Fazit ist jedenfalls, das die ganze Heuristik & Co. zumindest bei Panda Antivirus 2012 vollständig versagt hat, denn gerade diese Heuristik sollte ja auch wenn der Virus noch nicht bekannt ist in der Datenbank, anhand des Verhaltens diesen dennoch zumindest melden oder blockieren. Was in diesem Fall jedoch zum Leidwesen des Benutzers versagt hat. Der Virus hat sich installiert, Dateien nachgeladen und lief munter im Task-Manager mit 5 Tasks sichtbar.

Problemlösung:

1. Task-Manager öffnen alle unter dem angemeldetem User laufenden Prozesse, welche nur aus Zahlen bestehen löschen sowie Prozesse, welche absolut nicht zum Computer passen, oder aber Namen von Programmen enthalten, welche definitiv nicht auf dem Rechner installiert sind.

2. ESET Smart Security 4 Testversion per eMail Link anfordern und mit den mitgeteilten Zugangsdaten herunterladen.

3. Netzwerkverbindungen trennen (sicher ist sicher) und danach den vorhandenen Virenscanner deinstallieren und die Testversion von ESET Smart Security 4 installieren.
Achtung nach der Deinstallation des alten Virenscanners ist ein Neustart erforderlich!

4. Netzwerkverbindung wiederherstellen und den Virenscanner mittels Online Update aktualisieren.

5. Computer nach Viren durchsuchen lassen und siehe da, wie er eine nach der anderen Datei mit dem obigen Virus findet…

6. Freuen und warten bis der Hersteller des eigenen Virenprogrammes den Virus erkennt… :D

Update 29.08.2011:

Der Kaspersky File Scanner erkennt nun den Virus:

Zu überprüfende Datei: PIC04402011.JPG.scr - Infiziert

Statistiken:
PIC04402011.JPG.scr Infiziert: Trojan.Win32.Buzus.ihyl
Bekannte Viren: 6079167 Updated: 29-08-2011
Größe der Datei (Kb): 205 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Und laut www.virustotal.com erkennt jetzt auch der BitDefender den Virus:

File name: PIC04402011.JPG.scr
Submission date: 2011-08-28 18:24:04 (UTC)
Current status: finished
Result: 5 /44 (11.4%)

...
BitDefender 7.2 2011.08.28 Trojan.Generic.KD.336709
Kaspersky 9.0.0.837 2011.08.28 UDS:DangerousObject.Multi.Generic
McAfee-GW-Edition 2010.1D 2011.08.28 Heuristic.LooksLike.Win32.Suspicious.J
NOD32 6418 2011.08.28 a variant of Win32/Injector.IWV
Sophos 4.68.0 2011.08.28 Mal/EncPk-AAQ
...

Tagged with:
Mai 27

HP Druckerinstallation mit UnicodeDecodeError Problem

Installation, Konfiguration 2 Comments »

Die Installation von Hewlett Packard Druckern gestaltet sich unter Linux dank der hplip recht einfach. hp-setup mit root-Rechten aufrufen und die graphische Installation geht los. Der Netzwerkdrucker wurde gefunden, die ppd-Datei vom HP-Server heruntergeladen und es fehlt nur noch der letzte Schritt “Add Printer”. Und genau hier ging es nicht weiter. Ein Blick auf die Console brachte die Erkenntnis:


Traceback (most recent call last):
File "/usr/share/hplip/ui4/setupdialog.py", line 1238, in NextButton_clicked
self.addPrinter()
File "/usr/share/hplip/ui4/setupdialog.py", line 943, in addPrinter
self.setupPrinter()
File "/usr/share/hplip/ui4/setupdialog.py", line 966, in setupPrinter
self.print_location, '', self.print_ppd[0], self.print_desc)
File "/usr/share/hplip/prnt/cups.py", line 712, in addPrinter
( printer_name, device_uri, location, ppd_file, model, info))
UnicodeDecodeError: 'ascii' codec can't decode byte 0xc3 in position 11: ordinal not in range(128)

Natürlich war der nächste Schritt die Google-Suche zu bemühen nach UnicodeDecodeError: ‘ascii’ codec can’t decode byte 0xc3 in position 11: ordinal not in range(128) und auf Launchpad fand ich dann den passenden Hinweis.

Hatte ich doch tatsächlich versucht im Feld “Location” eine “ü”-Zeichen nutzen zu wollen, Weil Büro sieht nunmal schöner aus als Buero, aber das mag entweder das hp-setup, python oder ein anderes involviertes Tool wohl weniger. Nach der Änderung von Büro in Buero jedenfalls funktionierte der Klick auf “Add Printer” und der Drucker wurde fehlerfrei hinzugefügt.

Tagged with:
Apr 01

Wine versucht XML-Dateien zu öffnen

Konfiguration No Comments »

Seit der Installation von Wine unter Kubuntu 10.10 habe ich das Problem, das wenn ich versuche über das System (z.B. Dolphin oder den Schnellzugriffsbrowser) XML-Dateien zu öffnen, das dann x Winebrowser geöffnet werden und zwar für jeden XML-Eintrag einer! Wenn man dann nicht schnell genug die Tasks alle killt, ist das System für längere Zeit lahm gelegt.

Heute habe ich mich endlich auf die Suche begeben um das Problem zu lösen und was soll ich sagen, es ist eigentlich ganz einfach. Man geht einfach auf das KDE-Startmenu -> Rechner -> Systemeinstellungen um dann dort im Bereich Allgemeines Erscheinungsbild und Verhalten das Symbol Dateizuordnungen aufrufen.
Hier kann man um die Zuordnungen für XML-Dateien schneller zu finden in der Eingabezeile Dateityp oder -muster suchen einfach xml eingeben. Jetzt im Bereich Bekannte Typen application aufklappen und auf xml klicken. Im rechten Bereich sind jetzt die Rangfolge der zugeordneten Anwendungsprogramme zu sehen und dort habe ich dann den Winebrowser der ganz oben stand gelöscht. Da Firefox auch nicht mit allen XML-Dateien richtig umgehen kann, habe ich dann gleich noch Kate nach oben verschoben.
Hinterher auf Anwenden-Button rechts unten klicken und fertig! :)

Ich hoffe dem einen oder anderen mit dieser Anleitung geholfen zu haben, da Google mir hierbei nicht helfen konnte und mir nicht gleich klar war, wo ich eigentlich suchen muß um das Problem zu lösen. Denn wieso Wine den Winebrowser bei XML-Dateien als bevorzugtes Programm einträgt ist mir nicht ganz klar.

Tagged with:
Previous Entries
preload preload preload