Trojaner in Thunderbird 3.0

  • Ich habe bei mir den Trojaner banload.ik in thunderbird.exe gefunden.
    Verschiedene Vierenscanner stufen den als hohes risiko ein.
    Wie kann das sein? Ich hab mir TB3.0 von der offiziellen Seite geholt.

  • Hallo JR2009,


    was ist die "offizielle Seite" (Link)?
    Welcher Virenscanner meldet das?


    Gruß, muzel

  • http://de.www.mozillamessaging.com/de/


    Meldung von meinem Anti Malware Scanner a-squared Anti Malware 4.5


    es war in Thunderbirdsetup.exe


    Virustotal Scan:


    K7AntiVirus 7.10.936 2010.01.02 Trojan-Downloader.Win32.Banload.anpc
    McAfee+Artemis 5850 2010.01.03 Artemis!38138584285E
    VBA32 3.12.12.1 2010.01.01 Trojan-Downloader.Win32.Banload.aofo
    Ikarus T3.1.1.79.0 2009.12.31 Trojan-Downloader.Banload
    TheHacker 6.5.0.3.129 2010.01.03 Trojan/Downloader.Banload.antu

  • "FranzHessel" schrieb:

    Hatte ebenfalls eine Trojaner-Meldung.
    Download-Link: http://download.mozilla.org/?p…erbird-3.0&os=win&lang=de


    Klick mal auf den Link, dann öffnet - in Firefox - sich ein Fenster, in dem man sehen kann, welcher Mirror den Download durchführen würde. Brich ab und mach das nochmal.


    Es dürfte jedes Mal ein anderer Mirror sein, teilweise Unis. Meinst wirklich, alle diese Organisationen/Firmen/Institute und Mozilla selbst würden schon seit ewigen Zeiten (siehe Link zu TB 2.0.0.23) ihre Dateien ungeprüft ins Netz stellen?


    Und die meisten Antivirenprogramme irren sich tatsächlich, weil sie alle keinen Virus finden? Glaubst du das?

  • allblue :

    Zitat

    Es dürfte jedes Mal ein anderer Mirror sein, teilweise Unis. Meinst wirklich, alle diese Organisationen/Firmen/Institute und Mozilla selbst...


    Leider kann ich nicht sagen, von welchem Mirror der Download tatsächlich erfolgt ist. Aber du triffst genau den Punkt. Nur die Frage müsste lauten: Meinst wirklich, dass es möglich ist so eine Vielzahl von Quellen (und damit möglichen Punkten an denen Sabotage stattfinden kann) unter Kontrolle zu halten?

    Zitat

    Und die meisten Antivirenprogramme irren sich tatsächlich, weil sie alle keinen Virus finden?


    In der Tat glaube ich, dass es bessere und weniger gute Viren-Scanner gibt. Dazu werden regelmäßig Tests auch von unabhängigen Institutionen durchgeführt (siehe z.B. http://www.chip.de), die zeigen, dass es - insbesondere bei neuen Viren - starke Unterschiede gibt.
    graba :

    Zitat

    Einige sog. Virenfunde dienen dazu, die Daseinsberechtigung der Virensoftware zu dokumentieren.


    Stell dir vor, dein System arbeitet ordnungsgemäß, keine Fehler, keine Viren (auch nicht bei einem Komplettscan), und dann meldet dein Virenscanner einen Fund in einer gerade heruntergeladenen Installationsdatei. Was würdest du folgern?
    * Das ist sicher nur ein Pseudofund, damit der Virenscanner seine Daseinsberechtigung beweist.
    * Irgendetwas ist komisch mit der Datei die ich gerade heruntergeladen habe.
    Zusammenfassend stelle ich fest, dass bei euch eine beängstigende Gleichgültigkeit herrscht gegenüber diesem Thema.

  • Hallo und guten Morgen,


    ich habe soeben den TB über den von Link FranzHessel geladen und zusätzlich nochmals gescannt, dann die Exe ausgeführt und installiert: es wurde kein Virus von F-Secure erkannt.

    "FranzHessel " schrieb:


    Nur die Frage müsste lauten: Meinst wirklich, dass es möglich ist so eine Vielzahl von Quellen (und damit möglichen Punkten an denen Sabotage stattfinden kann) unter Kontrolle zu halten?

    hmm, wenn aber doch TB auf verschiedenen Mirrors den gleichen Virus beinhalten würde, müsste der doch bereits bei Mozilla in die exe kommen. Glaubst du das wirklich von einem Virus, der von "normalen" Virenscannern bereits erkannt wird?
    Schau mal oben im Link von allblue nach: exakt der gleiche angebliche Fund bereits vor Monaten...


    Zitat


    Zusammenfassend stelle ich fest, dass bei euch eine beängstigende Gleichgültigkeit herrscht gegenüber diesem Thema.

    nein, bestimmt nicht. Aber vielleicht sind wir einfach auf Grund unserer Erfahrung etwas abgebrühter :rolleyes:
    Im Ernst: wie gesagt: ich habe das sofort getestet und die anderen Forenhelfer machen so was i.R. bei einer solchen Meldung auch.


    Btw: bei vielen Scannern kann man verdächtige Dateien einsenden und erhält eine Rückmeldung. Ich habe das bereits mehrfach gehabt und immer war es so..
    Fehlalarm durch neue Virendefinition

  • "FranzHessel" schrieb:

    Stell dir vor, dein System arbeitet ordnungsgemäß, keine Fehler, keine Viren (auch nicht bei einem Komplettscan), und dann meldet dein Virenscanner einen Fund in einer gerade heruntergeladenen Installationsdatei. Was würdest du folgern?
    * Das ist sicher nur ein Pseudofund, damit der Virenscanner seine Daseinsberechtigung beweist.
    * Irgendetwas ist komisch mit der Datei die ich gerade heruntergeladen habe.


    Das hängt von der Datei ab. Bei einem E-Mailanhang oder ein Programm aus nicht-seriöser Quelle würde ich deinen zweiten Punkt annehmen.


    Bei einer orginalen Datei eines bekannten Anbieters würde ich den Fund verifizieren wollen (und zB. hier mal nachfragen wollen, was ja auch ok ist). Vielleicht auch mal mein Antivirenprogrammunter die Lupe ehmen.


    Weiter:

    Zitat

    In der Tat glaube ich, dass es bessere und weniger gute Viren-Scanner gibt. Dazu werden regelmäßig Tests auch von unabhängigen Institutionen durchgeführt (siehe z.B. http://www.chip.de), die zeigen, dass es - insbesondere bei neuen Viren - starke Unterschiede gibt.


    Das ist richtig. Wobei "zuviele" Funde - z.B. nur weil eine Codeteil Ahnlichkeiten aufweist - nicht bedeutet, dass die Software besser ist. Zudem kenne und finde ich den Test bei chip.de nicht.


    Dagegen kenne ich einen Test aus der renommierten Zeitschrift c't - leider nicht ganz aktuell:

    Zitat

    Antiviren-Software muss eine Balance zwischen hoher Erkennungsrate und niedriger Fehlalarmquote finden. Unsere Tests mit 20 000 sauberen Dateien bestätigten unseren subjektiven Eindruck, dass im letzten Jahr die Zahl der fälschlich als Schadsoftware erkannten Dateien deutlich gestiegen ist. Kamen beim letzten Test immerhin noch zwei Programme ganz ohne und vier mit nur einem Fehlalarm aus, erreichte dieses Jahr Norton Antivirus mit einem das Minimum. Werte über 10, wie sie Gdata, BitDefender, ClamWin, Dr. Web, F-Secure, Ikarus und McAfee produzierten, zeigen, dass die Reise derzeit in die falsche Richtung geht.


    Quelle: http://www.heise.de/ct/artikel/Auf-der-Pirsch-291378.html


    Ganz aktuell ist ein weiterer Test der ct 2/2010 - Kostprobe zu deiner Software McAfee:

    Zitat

    Sehr gute Signatur-Scans und Heuristik, miserable Verhaltenserkennung – daran hat sich bei McAfee in der neuen Version nichts geändert. Lediglich der Schutz vor Rootkits hat nun allmählich das Niveau der Konkurrenz erreicht.
    (..)
    Das ist um so ärgerlicher, da McAfee nicht nur diverse unschuldige PC-Demos als Trojaner einstuft, sondern auch den verbreiteten
    Nullsoft-Uninstaller – wohl aufgrund der verwendeten UPX-Kompression.


    Mir reicht das als Zweifel.

  • Hi,


    dann will ich auch noch meinen Senf dazu geben.
    Ich habe mir die Zeit genommen ... .


    Da mich der auf WinDOSen ausgerichtete Schadcode recht wenig interessiert, konnte ich recht sorglos an die Sache herangehen:
    - die betreffende Installationsdatei von verschiedenen Mirrors heruntergeladen.
    - einen Prüfsummenvergleich gemacht => alle identisch
    - als aussagefähigen Virenscan erkenne ich nur einen an, der nicht vom installierten Betriebssystem des Rechners gestartet wird und mehrere Scanner nutzt.
    Also meinen Rechner von der brandneuen "Desinfec't"- CD aus der Zeitschrift für die ich hier aus rechtlichen Gründen keine Werbung machen will (Name versteckt sich aber im Titel der CD ...) gebootet, alle drei auf der CD installierten Virenscanner automatisch geupdatet und die Partition mit der Installationsdatei gescannt.
    - Ergebnis: negativ.


    Ich erkenne natürlich an, dass:
    1. auch direkt beim Hersteller einer Software ein Innentäter sitzen kann, und damit alle Mirrors den Schadcode verbreiten können
    2. dass nichts vergänglicher ist, als die Virensignaturen von vor 10 Minuten und
    3. ein Schadcode erst dann erkannt wird, wenn er "Wirkung zeigt". (Die "Guten" können immer nur nachziehen.)


    Aber wenn ich eine Software, die ja schon vor ein paar Tagen veröffentlicht wurde, ohne Auffälligkeiten mit drei brandaktuellen Virenscannern gecannt wurde, die noch dazu auf einem garantiert sauberen Betriebssystem laufen, gehe ich davon aus, dass sie clean ist.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • So, hab TB3 gelöscht und dann von einer PC Zeitschrift-CD installiert und dort ist alles OK. Kein Virenalarm mehr.
    Hab auch gemerkt, das die Tunderbirdsetup.exe (der Übeltäter) gar nich mehr da ist.
    Also irgendwas stimmt mit dem Offizeillen DL nicht!

  • "JR2009" schrieb:

    (..) und dann von einer PC Zeitschrift-CD installiert und dort ist alles OK.


    Hmm, wenn das nicht die originale Version ist, was ist denn da anders?

    Zitat

    Hab auch gemerkt, das die Tunderbirdsetup.exe (der Übeltäter) gar nich mehr da ist.


    Wie meinst du das?

  • Hallo,


    auch eine immer gute Idee ist der Vergleich der Prüfsumme. Einfach mal den md5- oder sha1-Wert der runtergeladenen Datei mit den offiziellen Werten (Dateien MD5SUMS bzw. SHA1SUMS) abgleichen.


    Grüsse,
    Karla

  • Hallo,


    falls die Installationsdatei tatsächlich "Thunderbirdsetup.exe" heißt, dann hast Du die Datei entweder umbenannt oder es handelt sich nicht um den offiziellen/originalen Download. Die offizielle Datei heißt theoretisch "Thunderbird Setup 3.0.exe". Aber wie Karla schon schrieb: es ist eine sehr gute und wichtige Sache, dass man Downloads mit den Prüfsummen kontrolliert.


    Gruß

  • "Thunder" schrieb:

    ...schon schrieb: es ist eine sehr gute und wichtige Sache, dass man Downloads mit den Prüfsummen kontrolliert.


    Hy,


    vollste Zustimmung :top:


    und ggfs. einfach eine gefundene Datei unter dem Verdacht des Fehlalarms bei *seinem* Antiviren-Hersteller einzusenden!
    [ Nur so können die besser werden! ;) ]


    Das ist bei allen Herstellern möglich :!: ~ und nach kurzer Zeit bekommt man sogar per e-mail das Ergebnis des Virenlabors zu gesendet! {tolle Sache ;) }


    Also bei Nutzung der brain.exe und ein bisserl Eigeninitiative ist das alles de facto *kein* wirkliches Problem. ... gelle! :lol:


    Ehrlicherweise frage ich mich manchmal was manche user bei einem wirklichen Befall tun ... :gruebel:


    greetings .... Vic

  • "Peter_Lehmann" schrieb:


    Ich habe mir die Zeit genommen ... .
    ...
    - die betreffende Installationsdatei von verschiedenen Mirrors heruntergeladen.
    - einen Prüfsummenvergleich gemacht => alle identisch


    Wer Wert auf ein stabiles und sicheres System legt, sollte grundsätzlich vor dem Klick auf irgend eine Installationsdatei einen Prüfsummenvergleich durchführen und dabei immer die von jedem seriösen Entwickler veröffentlichte Prüfsumme als Vergleichswert heranziehen. Unter Linux ist das bei der Nutzung der üblichen Repositories (= Softwaresammlungen) sogar automatisch ablaufender Standard und nur durch bewusstes Handeln des User zu übergehen.
    Freunden der WinDOSe macht das natürlich etwas Mühe ... . Hier sollte jeder selbst abwägen, ob ihm die Integrität seines Systems diese wert ist.


    "Vic~" schrieb:


    Ehrlicherweise frage ich mich manchmal was manche user bei einem wirklichen Befall tun ... :gruebel:


    Das hängt ganz vom "Mut" (auch "Blauäugigkeit", "Unwissenheit", ..., "Unbelehrbarkeit" oder meinetwegen "Dummheit" genannt) des jeweiligen Users ab. Das Schlimme ist nur, dass diese "mutigen" ... User dann auch noch die anderen User durch die Verteilung des Schadcodes schädigen. Und manche wissen sogar davon, und machen sich keine Gedanken darüber.
    Andererseits - nicht immer und überall helfen wir so wie hier im Forum nur für ein eventuell kommendes "Dankeschön" ... .



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi,
    Leute, ihr habt ja recht, aber der gewöhnliche ONU ist mit einerseits mit Prüfsummen schon überfordert und es ist ihm sch..egal, wo er seine Software herunterlädt - i.d.R. wird der erste Google-Treffer genommen. Man hat ja Virenscanner und Firewall und ist somit sicher vor Viren, Trojanern und Schweinegrippe :D

  • Hi frog,


    ich stimme dir ja vollkommen zu.
    Vor allem, was die Schweinegrippe betrifft ... .


    Aber wir haben noch ein ganz klein wenig Hoffnung dass diejenigen User, die du so treffend beschreibst, beim Lesen manche Beiträge zumindest ein ganz klein wenig nachdenken ... . Du weißt doch, wie dass mit dem "steten Tropfen" so ist.


    Frage: Was ist ein "ONU"? Ich kenne nur den "DAU", den "Level 8-Fehler", "EBKAC" und einige weitere. Sogar Wikipedia schweigt beim "ONU".


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!