Diskussionsforum
Menü

Discountserver / McAfee bestaetigt Virenfund


08.03.2005 13:02 - Gestartet von berndleutenecker
Hallo!

Erst mit den aktuellsten Virensignaturen (4441 vom 7. Maerz)
findet McAfee VirusScan Enterprise 8.0.0 (deutsch) mit dem
aktuellen Scanmodul 4400 in der Datei wbopen.exe aus dem
Discountserver-Verzeichnis das 'Virus' spy-wbo.
Aufgrund der Beitraege hier im Forum zu den Meldungen anderer
Virenscanner, welche offenbar aber durch Updates der
Virensignaturen behoben wurden, habe ich die Datei zur
weiteren Pruefung an McAfee gesandt. Ich erhielt jedoch die
Rueckmeldung (Analysis ID: 1685005) von McAfee AVERT Lab ,
dass eine Infektion tatsaechlich gegeben sei!!?!
Merkwuerdig ist m. E. allerdings, dass bei mir (Windows 2000
SP 4, deutsch, alle Fixes) die Anwendung vom Virenschutz zwar
entfernt wurde, der Discountserver (v3) jedoch immer noch
verwendbar ist.
Sofern nicht doch ein Risiko von dieser Datei ausgeht, waere
es vermutlich ratsam, wenn seitens des Herstellers Verbindung
mit McAfee aufgenommen wird, um die (hoffentlich)
Falschmeldung zu beseitigen.

Bernd Leutenecker
Menü
[1] berndleutenecker antwortet auf berndleutenecker
08.03.2005 20:19
Hallo!

Folgender Nachtrag: Auch mit den aktuellsten Virensignaturen
meldet VirusScan Enterprise 8 weiterhin eine Infektion der
Datei wbopen.exe aus dem Discountserver-Verzeichnis mit
'spy-wbo'.
Ich hatte zudem geschrieben, dass diese Datei entfernt werden
kann, die Anwendung aber immer noch funktioniert. Nun, ganz
korrekt ist das nicht, aber auch kein Problem: Beende ich eine
Verbindung ueber den Discountserver, dann wird dieses Programm
beendet und nicht wieder gestartet, wie dies sonst der Fall
ist.

Bernd Leutenecker
Menü
[1.1] berndleutenecker antwortet auf berndleutenecker
08.03.2005 23:06
Hallo!

Ich habe weitere Online-Pruefungen fuer die Datei wbopen.exe
aus dem Discountserver 3.0-Verzeichnis durchgefuehrt, soweit
diese via Datei-Upload und ohne Herabsetzung meiner (und der
empfohlenen) Sicherheitseinstellungen moeglich war.
Neben McAfee in der aktuellsten Version findet auch der
Ikarus-Online-Scanner ein Virus: 'Trojan-Spy.Win32.Delf.GH'.
Die Online-Scanner von Kaspersky und RAV finden dagegen
keine Infektion.

Bernd Leutenecker
Menü
[1.1.1] jogi1970 antwortet auf berndleutenecker
09.03.2005 06:06
D:\PROGRAMME\DISCOU­NTSURFER\WBOPEN.EXE

Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/FunFactory.10

Diese Meldung kommt von AntiVir.
Aber nach der Installation ist die Datei nicht mehr vorhanden.
Das Programm läuft trotzdem.

Menü
[1.1.2] Berliner01 antwortet auf berndleutenecker
09.03.2005 07:56
Benutzer berndleutenecker schrieb:
Hallo!

Ich habe weitere Online-Pruefungen fuer die Datei wbopen.exe aus dem Discountserver 3.0-Verzeichnis durchgefuehrt, soweit diese via Datei-Upload und ohne Herabsetzung meiner (und der empfohlenen) Sicherheitseinstellungen moeglich war. Neben McAfee in der aktuellsten Version findet auch der Ikarus-Online-Scanner ein Virus: 'Trojan-Spy.Win32.Delf.GH'.
Die Online-Scanner von Kaspersky und RAV finden dagegen keine Infektion.

Bernd Leutenecker

Hallo Bernd,

den oben genannten Virus fand auch der Kasperky AV. Es handelte sich allerding um einen Fehlalarm. Die aktualisierten
Signaturen lösen keinen Alarm mehr aus.
Ich schätze mal, dass es bestimmt noch einige Virenscanner gibt
die einen Virenfund melden. Warum das nun so ist, obwohl ja keine
Infektion vorhanden sein soll weiß ich auch nicht.

Gruß Dirk
Menü
[1.1.3] Discountsurfer antwortet auf berndleutenecker
09.03.2005 15:36
Benutzer berndleutenecker schrieb:
Hallo!

Ich habe weitere Online-Pruefungen fuer die Datei wbopen.exe aus dem Discountserver 3.0-Verzeichnis durchgefuehrt, soweit diese via Datei-Upload und ohne Herabsetzung meiner (und der empfohlenen) Sicherheitseinstellungen moeglich war. Neben McAfee in der aktuellsten Version findet auch der Ikarus-Online-Scanner ein Virus: 'Trojan-Spy.Win32.Delf.GH'.
Die Online-Scanner von Kaspersky und RAV finden dagegen keine Infektion.

Bernd Leutenecker

Hallo,

Ikarus haben wir schon vergangene Woche auf das Problem aufmerksam gemacht, haben bisher jedoch keinerlei Reaktion erhalten. McAfee haben wir inzwischen auch um eine Stellungnahme Korrektur gebeten. Andere Hersteller haben ziemlich zeitnah reagiert, uns den Fehlalarm bestätigt und aktualisierte Signaturen bereitgestellt.

Viele Grüße
Falko Hansen
Menü
[1.1.3.1] berndleutenecker antwortet auf Discountsurfer
10.03.2005 22:03
Hallo!

Auch nach mittlerweile mehreren Updates (aktuell 4444 von
heute Nachmittag) meldet McAfee VirusScan Enterprise 8.0.0.
immer noch das Trojanische Pferd 'Spy-Wbo' in der Datei
wbopen.exe aus dem Discountserver 3-Verzeichnis.
Finde ich mittlerweile doch etwas bedenklich ...

Bernd Leutenecker