Krischi
27.03.05, 11:50
Ich teste zur Zeit ein klein wenig mit ClamAV (http://www.clamav.net/), AntiVir (http://free-av.de/) und Aegis Virus Scanner (http://jodrell.net/projects/aegis) herum.
Gestern scannte ich mein home-Verzeichnis mit Aegis.
Tatsächlich beschwerte sich das Ding:
/home/surak/Download/codecs/win32codecs/vp31vfw.dll is infected with the W32/Magistr.a@MM virus!
Die codecs hatte ich mal für MPlayer oder xine heruntergeladen. Es müßten wahrscheinlich die auf der MPlayer-Seite verlinkten sein (ich müßte aber lügen, wollte ich sagen, ich sei mir hundertprozentig sicher; das ist zu lange her, daß ich die da geparkt habe; werde aber versuchen das zu verifizieren.).
Ich habe das Verzeichnis daraufhin mit ClamAV und AntiVir gescannt, die nicht fündig wurden, weshalb ich davon ausgehe, daß es sich um einen Fehlalarm handelt.
Frage: Wahrscheinlich sollte man das Aegis-Team auf diesen möglichen Fehlalarm hinweisen. Sollte man dennoch darüber hinaus auch der Quelle der verdächtigen Datei nahelegen, diese zu prüfen?
Aegis hat natürlich beim Scannen seine Spuren in /tmp hinterlassen.
/tmp wurde die Nacht von AntiVir gescannt und es gab erneut eine Irritation:
ALERT: [TR/Citupdate virus] /tmp/aegis-surak-ZUJvb2sgLSBBZ2FpbnN0IEFsbCBFbmVtaWVzIC0gSW5zaWRlIH RoZSBXaGl0ZSBIb3VzZXMgV2Fy
IG9uIFRlcnJvci0tV2hhdCBSZWFsbHkgSGFwcGVuZWQuZXhl <<< Is the Trojan horse TR/CitupdateAuch hier wird ClamAV nicht fündig (also Fehlalarm?).
Viel irritierender ist für mich jedoch, daß ich weder auf der AntiVir-Seite, noch per Google Informationen zu "TR/Citupdate" finden kann.
Aber es gibt auch etwas, das mehr positive Überraschung als Irritation ist: "hartnäckige" Phishing-Mails
Vor einiger Zeit scannte ich mein Thunderbird-Verzeichnis mit ClamAV, wissend, daß einer der Junk-Ordner einige Spam- und Phishing-Mails enthielt.
Ich war überrascht, daß ClamAV Phishing-Mails als solche erkennt.
Danach löschte ich die entsprechenden Mails, doch ClamAVfand immer noch die offenbar verbleibenden Rückstände in der entsprechenden Inbox.
Experimentierfreudig wie ich war, packte ich die entsprechende Inbox zu einem .tar.gz und scannte dies: ClamAV wurde immer noch fündig.
Und dieses .tar.gz wurde nun gestern von Aegis mitgescannt.
Aegis hatte daran nichts zu beanstanden.
Aber als ich grad (zur Überprüfung der AntiVir-Meldung) /tmp mit ClamAV scannte, kam wieder das bekannte
HTML.Phishing.Bank-1 FOUNDSelbst dort scheinen die Dinger also nicht vor ClamAV sicher zu sein.
Eine weitere Frage stellt sich mir da gerade noch:
Ich habe darüber nachgedacht, eigene (und auch einige fremde Rechner; Familie etc.) in regelmäßigen Abständen und/oder im Verdachtsfall per Live-CD (z.B. Helix (http://www.e-fense.com/helix/index-n.html)) zu scannen.
Virenprüfung per Live-CD ist kein Problem.
Aber wie sieht es mit chkrootkit/rkhunter aus?
Mag sein, daß ich grad tierisch auf dem Schlauch stehe und etwas völlig elementares übersehe, aber ein von Live-CD aufgerufenes chkrootkit checkt nur die CD :confused:
Was übersehe ich bzw. was ist zu tun?
:)
Gestern scannte ich mein home-Verzeichnis mit Aegis.
Tatsächlich beschwerte sich das Ding:
/home/surak/Download/codecs/win32codecs/vp31vfw.dll is infected with the W32/Magistr.a@MM virus!
Die codecs hatte ich mal für MPlayer oder xine heruntergeladen. Es müßten wahrscheinlich die auf der MPlayer-Seite verlinkten sein (ich müßte aber lügen, wollte ich sagen, ich sei mir hundertprozentig sicher; das ist zu lange her, daß ich die da geparkt habe; werde aber versuchen das zu verifizieren.).
Ich habe das Verzeichnis daraufhin mit ClamAV und AntiVir gescannt, die nicht fündig wurden, weshalb ich davon ausgehe, daß es sich um einen Fehlalarm handelt.
Frage: Wahrscheinlich sollte man das Aegis-Team auf diesen möglichen Fehlalarm hinweisen. Sollte man dennoch darüber hinaus auch der Quelle der verdächtigen Datei nahelegen, diese zu prüfen?
Aegis hat natürlich beim Scannen seine Spuren in /tmp hinterlassen.
/tmp wurde die Nacht von AntiVir gescannt und es gab erneut eine Irritation:
ALERT: [TR/Citupdate virus] /tmp/aegis-surak-ZUJvb2sgLSBBZ2FpbnN0IEFsbCBFbmVtaWVzIC0gSW5zaWRlIH RoZSBXaGl0ZSBIb3VzZXMgV2Fy
IG9uIFRlcnJvci0tV2hhdCBSZWFsbHkgSGFwcGVuZWQuZXhl <<< Is the Trojan horse TR/CitupdateAuch hier wird ClamAV nicht fündig (also Fehlalarm?).
Viel irritierender ist für mich jedoch, daß ich weder auf der AntiVir-Seite, noch per Google Informationen zu "TR/Citupdate" finden kann.
Aber es gibt auch etwas, das mehr positive Überraschung als Irritation ist: "hartnäckige" Phishing-Mails
Vor einiger Zeit scannte ich mein Thunderbird-Verzeichnis mit ClamAV, wissend, daß einer der Junk-Ordner einige Spam- und Phishing-Mails enthielt.
Ich war überrascht, daß ClamAV Phishing-Mails als solche erkennt.
Danach löschte ich die entsprechenden Mails, doch ClamAVfand immer noch die offenbar verbleibenden Rückstände in der entsprechenden Inbox.
Experimentierfreudig wie ich war, packte ich die entsprechende Inbox zu einem .tar.gz und scannte dies: ClamAV wurde immer noch fündig.
Und dieses .tar.gz wurde nun gestern von Aegis mitgescannt.
Aegis hatte daran nichts zu beanstanden.
Aber als ich grad (zur Überprüfung der AntiVir-Meldung) /tmp mit ClamAV scannte, kam wieder das bekannte
HTML.Phishing.Bank-1 FOUNDSelbst dort scheinen die Dinger also nicht vor ClamAV sicher zu sein.
Eine weitere Frage stellt sich mir da gerade noch:
Ich habe darüber nachgedacht, eigene (und auch einige fremde Rechner; Familie etc.) in regelmäßigen Abständen und/oder im Verdachtsfall per Live-CD (z.B. Helix (http://www.e-fense.com/helix/index-n.html)) zu scannen.
Virenprüfung per Live-CD ist kein Problem.
Aber wie sieht es mit chkrootkit/rkhunter aus?
Mag sein, daß ich grad tierisch auf dem Schlauch stehe und etwas völlig elementares übersehe, aber ein von Live-CD aufgerufenes chkrootkit checkt nur die CD :confused:
Was übersehe ich bzw. was ist zu tun?
:)