GTX Transcoder infiziert mit Backdoor.Win32.VB.asy ?

  • #1
M

Microchip

Bekanntes Mitglied
Themenersteller
Dabei seit
10.03.2005
Beiträge
1.970
Reaktionspunkte
0
hallo,
habe gerade den a2 Scanner durchlaufen lassen und als Ergebnis findet er den
Fiesling- siehe oben - im GTX Programmordner.



Ich möchte mal bitten, daß andere Germani X- User mit ihren Scannern prüfen lassen.

Ich habe das Programm übrigens schon seit längerer Zeit auf dem Rechner und bisher hat noch kein anderer Scanner angeschlagen, auch nicht der a2, aber heute war es soweit und das gefällt mir nun ganz und gar nicht, verständlicherweise.

Danke an alle Mitsucher !

Die besagte .dll Datei hab ich löschen lassen. Gestartet ist das GermaniX Teil trotzdem.
 
  • #2
Welche Version hast du installiert? Welche dll meinst du?
 
  • #3
hi Mimod
es ist die neueste Version und wie die .dll heisst ist mir leider entgangen. Sie war im Verzeichnis von Germani X, irgendwas mit addon oder addin.
Der a2 legt auch nichts in Quarantäne.
Mir geht es nur darum ob andere Scanner auch einen Backdoor finden oder ob der a2 das etwas gefunden hat was keine Malware ist.

hallo @ Softwareempfehlungs-Team hier bei WT
bitte guckt Euch die Sache mal an.
Immerhin hat ihr dem Programm die volle Punkte gegeben und einen Award.
Ich gehe zwar weiterhin von einem falschen Alarm aus aber irgendwas muss doch dran sein oder?

@ Admin
Scheint niemanden zu interessieren.
Thread kann gelöscht werden.
 
  • #4
Hallo,
habe mehrmals die gleiche Meldung von Kaspersky Internetsecurity6 und sicherheitshalber die betroffenen DLLs gelöscht. Der Transcoder funktioniert trotzdem.
 
  • #5
hallo Jürgen,
na immerhin wars keine Fata Morgana bei a2.
Eigenartige Sache.
Schade, daß der Programmierer selbst noch nicht Stellung bezogen hat.
Vllt ergibt sich ja noch was.
 
  • #6
Hallo zusammen,

das Problem ist seit mehreren Tagen bekannt.

Mehr Infos findet ihr hier:



Auch den Admin habe ich mit der Tatsache konfrontiert, alles im Sande verlaufen.


Ich kann nur empfehlen bis auf weiteres auf dieses Programm zu verzichten!
Es handelt sich hier definitiv NICHT um einen Fehlalarm, das Programm enthält Code der es dritten ermöglicht die Kontrolle über das System zu übernehmen.
(Welche funktionen dies sind ist im Chip-Thread zu sehen)

Sobald ich neue Informationen habe poste ich diese umgehend!

Gruss
Rob_LD
 
  • #7
Jetzt erstmal den Ball flachhalten und das Problem nicht künstlich aufblähen. Wir werden in Kontakt treten mit dem Entwickler und hoffen auf Rückantwort. Bis dahin werden wir keinerlei Angriffe gegen die Software oder den Autor dulden. :)
 
  • #8
@PCDFlocke
Wir werden in Kontakt treten mit dem Entwickler und hoffen auf Rückantwort.
Zum Vergrößern anklicken....

Dies habe ich schon unternommen, der Quellcode wäre zwecks Prüfung zu Kaspersky übersendet worden.
Weitere informationen bleibt der Autor Schuldig.
(Siehe Thread bei germaniX)


Fakt ist im Moment nur eins:
Über dieses Programm bzw. die dazugehörige Bibliothek ist es möglicht gezielt Teile des Systems zu manipulieren.

Siehe:
Beenden des Taskmanagers usw.

Nicht ohne Grund wird die Datei von nunmehr 9 AV Labs als Backdoor eingestuft!


Gruss
Rob_LD
 
  • #9
Wir werden trotzdem auf Rückantwort warten und bis dahin nichts unternehmen. :)
Kannst du einen Exploit dazu verlinken?
 
  • #10
Kannst du einen Exploit dazu verlinken?
Zum Vergrößern anklicken....

Exploit?
Wir reden aneinander vorbei...

Mit dem GX Transcoder wird eine Datei (gxFunction_System.dll) installiert, diese Bibliothek enthält viele Befehle die normalerweise von Trojanern verwendet werden.

Ich habe die Datei jetzt mal auf meinem Webspace hinterlegt:
h**p://people.freenet.de/Rob_LD/gxFunction_System.dll.zip

Passwort für das ZIP Archiv ist: virus

Kurzer Einblick über einige Befehle:
GetWindowThreadProcessId FindWindowExA ShowWindow GetWinDir GetSystemDir WholeScreenForm Gradient
MakeIt3D SetOnTopForm
PlayMid StopMid PlayWav GetComputerName HideTaskBar ShowTaskBar GetUserName HideMouseCursor
ShowMouseCursor DisableXbutonForm ChangeWallPaper LogOnAsDifferentUser ShutDownComputer RebootComputer
ForceShutDownComputer ControlPanelAddNewHardWare ControlPanelAddRemovePrograms ControlPanelDatetime
ControlPanelDisplay ControlPanelInternet
ControlPanelJoyStick ControlPanelKeyBoard ControlPanelModem ControlPanelMouse ControlPanelMultimedia
ControlPanelNetWork ControlPanelPassWords ControlPanelRegionalSettings ControlPanelSounds
ControlPanelSystem Text3D ChooseColor ProgressBar CloseCDRom OpenCDRom HideFromCtrlLAltDel DirectoryExists
FileExists TransparentForm DisableCtrlAltDel EnableCtrlAltDel GetDUNConnections
ConnectToDUNConnection CreateDesktopShortCut GetFreeDriveSpace
TilePictureAroundForm SoundCardExists PutFormToIconTray RemoveFormFromIconTray
CheckForFormInIconTray HideStartButton ShowStartButton HideTaskBarIcons ShowTaskBarIcons
HideTaskBarClock ShowTaskBarClock HideAppButtons ShowAppButtons FirstOfMonth LastOfMonth FirstOfYear v
LastOfYear DaysInMonth DaysLeftInYear DaysLeftUntilChristmass DaysInYear IsLeapYear FadePicture
GetAccessPassWord ReverseText DoubleText SpacedText ExecuteFile MakeStartupRegRUN
MakeStartupRegRUNSERVICES GetAvailableScreenResolutions ChangeScreenResolution CerterControls
ShowAbout SelectDirectory SelectImageFile SelectFile FormatNumberToWords ShuffleArray TrimPath

Wobei die Frage bleibt wozu derartige Befehle bei einem Audio Encoder gebraucht werden:
HideStartButton
ShowStartButton
ExecuteFile
GetAccessPassWord
HideFromCtrlLAltDel
DisableCtrlAltDel


Zitat aus der mail von kaspersky Labs mit dehnen ich Verbindung aufgenommen habe:
###
Hello.

This dll file was detected because it present VERY strange for legitimate software functions.
I don't think what function, hidding MS Windows Start button is very necessary for this software.
And this OCX library have many other suspected functions, tipically used by trojan programs.

Sincerely yours,
Pavel Zelensky
Virus analyst
###


Deshalb kann ich ohne konkrete Stellungnahme des Autors nur empfehlen bis auf weiteres die Finger von dem Programm zu lassen!

Gruss
Rob_LD
 
  • #11
WTF?

In einer DLL gibt es unter anderem Funktionen, die auch Trojaner nutzen könnten (weil man es so kennt aus bekannten Symthomen), und erstellt daraus die Schlussfolgerung, dass GXT ebenfalls diese Funktionen nutzt und deswegen ein Programm ist, welches Trojaner-Funktionen enthält? Gehts noch?
 
  • #12
dass GXT ebenfalls diese Funktionen nutzt
Zum Vergrößern anklicken....
Das hat hier niemand behauptet!
(Bitte richtig lesen!)

Fakt ist das diese Möglichkeit besteht, und das nicht nur durch den Autor selbst sondern auch durch dritte.


und deswegen ein Programm ist, welches Trojaner-Funktionen enthält?
Zum Vergrößern anklicken....
Ja!
Das Programm enthällt Trojanerfunktionen, wer sich mit Malware auseinandersetzt sieht dies wenn er die dll öffnet.
Ob diese genutzt werden steht hier nicht zu Debatte, vorhanden und nutzbar sind sie!


Gehts noch?
Zum Vergrößern anklicken....
Habe ich mich auch gefragt als ich den Funktionsumfang der dll gesehen habe...

Gruss
Rob_LD
 
  • #13
hallo, nachdem ich den Ball hier losgetreten habe möchte ich doch denjenigen, die jetzt überhaupt kein Problem sehen wollen zu bedenken geben, daß diese mysteriöse .dll Datei problemlos zu löschen ging und das Programm beim Start trotzdem keine Fehlermeldung rauswarf, so auch von Jürgen1809 bestätigt.
Wenn der GermaniX Programmierer sich ständig mit irgendwelchen Falsch-Meldungen rumplagen muß, hat er aber ein eigenartiges Programm zusammengebaut.
:p
Und wenn er jetzt erst draufkommt, daß diese .dll nicht so der Bringer ist, soll sie doch gleich aus dem Setup rauswerfen. Offensichtlich braucht man sie fürs Programm selbst nicht.
 
  • #14
Zum starten des Programms nicht, aber wer weiß schon genau bei kompiliertem Code außer dem Entwickler für welche Funktion die DLL gebraucht wird. Mutmaßungen sind hier nicht angebracht. Wenn bei dir das Programm dennoch läuft, dann ist doch schön, sagt aber nicht, dass jede Funktion fehlerfrei funktioniert.

Wenn der Programm-Autor eine bestimmte Funktion verwendet und dazu diese DLL genutzt hat, braucht man nicht die Frage stellen: Ja wozu braucht man denn diese und jene andere Funktionen. Antwort: Garnicht. Man braucht genau eine andere Funktion aus der DLL.

Ob diese genutzt werden steht hier nicht zu Debatte, vorhanden und nutzbar sind sie!
Zum Vergrößern anklicken....
In der Sache der WSH von Windows seit 95 ebenfalls Tonnen von Möglichkeiten für Trojaner-Sympthomen. Wäre dann nach dieser Argumentation auch ein potentieller Trojaner.

Ja!
Das Programm enthällt Trojanerfunktionen, wer sich mit Malware auseinandersetzt sieht dies wenn er die dll öffnet.
Zum Vergrößern anklicken....
Nein!
Die DLL enthält einige Funktionen, die du mit Trojanern in Verbindung bringst, aber auch anders genutzt werden können und nicht mal gesagt ist, welche Funktionen überhaupt genutzt werden.


Flocke hat recht guten Kontakt zum Autor und hat bereits angefragt wie der Stand der Dinge ist. Also ein wenig Geduld. Wer denoch ein Problem mit dem Programm hat, weil es ja böse sein könnte und der Autor böse Absichten haben soll, sollte das Programm nicht nutzen.
 
  • #15
Hallo,

für mich sehr interessant, die Debatte in der halben Welt zu verfolgen. Die fragliche Datei ist seit Mai 2005 unverändert in der Setup Datei enthalten. Die Datei stellt nix weiteres dar, als einen Wrapper auf diverse Win32
Funktionen, welche ich in verschiedenen Projekten verwende und nicht bei jedem Projekt neu erstellen möchte. Einzig den Namen ändere ich (Sowohl Datei Namen als auch Classen Name der Root Klasse). Leider schlagen inzwischen die Scanner an, wenn zwei oder drei fragliche Funktionen in einer DLL oder EXE enthalten sind. Wenn ich wirklich da was reinpacken würde, dann würde ich keine COM Object bauen, sondern eine verschlüsselte native DLL - dann käme keiner so schnell dahinter. Das Kaspersky trotz Telefonat und übersendeter Datei + Source nix sagt, dafür kann ich leider nix. Ich dachte, dass nach einer Antwort von Kaspersky das Thema dann erledigt ist. Nach dem Source wird weiterhin die halbe Welt sagen : Woher weiss ich denn, ob das wirklich alles ist ... - ich werde das Teil trotzdem nicht OpenSource machen.

Diese Funktionen werden aus der Win32 API in der DLL unterstützt:

Code: 
Private Declare Function RegSetValueEx Lib advapi32 Alias RegSetValueExA (ByVal hKey As Long, ByVal lpValueName As String, ByVal Reserved As Long, ByVal dwType As Long, ByVal szData As String, ByVal cbData As Long) As Long
Private Declare Function RegCloseKey Lib advapi32 (ByVal hKey As Long) As Long
Private Declare Function RegCreateKeyEx Lib advapi32 Alias RegCreateKeyExA (ByVal hKey As Long, ByVal lpSubKey As String, ByVal Reserved As Long, ByVal lpClass As String, ByVal dwOptions As Long, ByVal samDesired As Long, lpSecurityAttributes As SECURITY_ATTRIBUTES, phkResult As Long, lpdwDisposition As Long) As Long
Private Declare Sub Sleep Lib kernel32 (ByVal dwMilliseconds As Long)
Private Declare Sub SetWindowPos Lib user32 (ByVal hwnd As Integer, ByVal hWndInsertAfter As Integer, ByVal x As Integer, ByVal y As Integer, ByVal cx As Integer, ByVal cy As Integer, ByVal wFlags As Integer)
Private Declare Function GetComputerNameA Lib kernel32 (ByVal lpBuffer As String, nSize As Long) As Long
Private Declare Function FindWindow Lib user32 Alias FindWindowA (ByVal lpClassName As String, ByVal lpWindowName As String) As Long
Private Declare Function ChangeDisplaySettings Lib user32 Alias ChangeDisplaySettingsA (lpInitData As DEVMODE, ByVal dwFlags As Long) As Long
Private Declare Function EnumDisplaySettings Lib user32 Alias EnumDisplaySettingsA (ByVal lpszDeviceName As Long, ByVal iModeNum As Long, lpDevMode As DEVMODE) As Long
Private Declare Function ExitWindowsEx Lib user32 (ByVal uFlags As Long, ByVal dwReserved As Long) As Long
Private Declare Function GetUserNameA Lib advapi32.dll (ByVal lpBuffer As String, nSize As Long) As Long
Private Declare Function GetSystemDirectoryA Lib kernel32 (ByVal lpBuffer As String, ByVal nSize As Long) As Long
Private Declare Function GetWindowsDirectoryA Lib kernel32 (ByVal lpBuffer As String, ByVal nSize As Long) As Long
Private Declare Function ShowCursor Lib user32 (ByVal bShow As Long) As Long
Private Declare Function GetSystemMenu Lib user32 (ByVal hwnd As Long, ByVal bRevert As Long) As Long
Private Declare Function GetMenuItemCount Lib user32 (ByVal hMenu As Long) As Long
Private Declare Function DrawMenuBar Lib user32 (ByVal hwnd As Long) As Long
Private Declare Function RemoveMenu Lib user32 (ByVal hMenu As Long, ByVal nPosition As Long, ByVal wFlags As Long) As Long
Private Declare Function SystemParametersInfo Lib user32 Alias SystemParametersInfoA (ByVal uAuction As Long, ByVal uParam As Long, ByVal lpvParam As Any, ByVal fuWinIni As Long) As Long
Private Declare Function GetCurrentProcessId Lib kernel32 () As Long
Private Declare Function RegisterServiceProcess Lib kernel32 (ByVal dwProcessID As Long, ByVal dwType As Long) As Long
Private Declare Function SetWindowLong Lib user32 Alias SetWindowLongA (ByVal hwnd As Long, ByVal nIndex As Long, ByVal dwNewLong As Long) As Long
Private Declare Function RasEnumConnections Lib RasApi32.DLL Alias RasEnumConnectionsA (lprasconn As Any, lpcb As Long, lpcConnections As Long) As Long
Private Declare Function RasEnumEntries Lib RasApi32.DLL Alias RasEnumEntriesA (ByVal Reserved As String, ByVal lpszPhonebook As String, lprasentryname As Any, lpcb As Long, lpcEntries As Long) As Long
Private Declare Function fCreateShellLink Lib VB5STKIT.DLL (ByVal lpstrFolderName As String, ByVal lpstrLinkName As String, ByVal lpstrLinkPath As String, ByVal lpstrLinkArgs As String) As Long
Private Declare Function GetDiskFreeSpace Lib kernel32 Alias GetDiskFreeSpaceA (ByVal lpRootPathName As String, lpSectorsPerCluster As Long, lpBytesPerSector As Long, lpNumberOfFreeClusters As Long, lpTotalNumberOfClusters As Long) As Long
Private Declare Function BitBlt Lib GDI32 (ByVal hDestDC As Integer, ByVal x As Integer, ByVal y As Integer, ByVal nWidth As Integer, ByVal nHeight As Integer, ByVal hSrcDC As Integer, ByVal XSrc As Integer, ByVal YSrc As Integer, ByVal dwRop As Long) As Integer
Private Declare Function waveOutGetNumDevs Lib winmm.dll () As Long
Private Declare Function GetWindowThreadProcessId Lib user32 (ByVal hwnd As Long, lpdwProcessId As Long) As Long
Private Declare Function Shell_NotifyIconA Lib SHELL32 (ByVal dwMessage As Long, lpData As NOTIFYICONDATA) As Integer
Private Declare Function FindWindowEx Lib user32 Alias FindWindowExA (ByVal hWnd1 As Long, ByVal hWnd2 As Long, ByVal lpsz1 As String, ByVal lpsz2 As String) As Long
Private Declare Function ShowWindow Lib user32 (ByVal hwnd As Long, ByVal nCmdShow As Long) As Long
Private Declare Function mciSendString Lib winmm.dll Alias mciSendStringA (ByVal lpstrCommand As String, ByVal lpstrReturnString As String, ByVal uReturnLength As Integer, ByVal hwndCallback As Integer) As Long
Private Declare Function SendMessage Lib user32 Alias SendMessageA (ByVal hwnd As Long, ByVal wMsg As Long, ByVal wParam As Integer, ByVal lParam As Long) As Long
Private Declare Function sndPlaySound Lib winmm.dll Alias sndPlaySoundA (ByVal lpszSoundName As String, ByVal uFlags As Long) As Long

Ich beabsichtige diese DLL entsprechend zu ändern und dann nur noch die Funktionen zu belassen, welche ich wirklich im GXT nutze (da auch das Hauptprogramm eine ActiveX EXE ist, sollte es nicht schwer für einen Fachmann sein zu untersuchen, welche Funktionen das Hauptprogramm aus der DLL benutzt). Jedoch komme ich nicht vor nächstem WE dazu. Es ist auch mühsam, den Behauptungen von AV Herstellern nachzurennen ... nochmal mache ich das auch ganz sicher nicht.

Beste Grüße,
GermaniX
 
  • #16
hallo GermaniX,
die halbe Welt wird froh sein, wenn dein Klasseprogramm wieder problemlos durch jeden Scanner durchsaust !
Das darfst du ruhig als Kompliment für dich und dein Programm auffassen ;)
 
  • #17
Hallo,

besten Dank des Lobes. Tut gut nach den ganzen Anfeindungen. Ich habe ein Beta Setup für die 2.24d 2480 fertig. Ich werde es in den nächsten Stunden auf meinem Server bereitstellen (habe eine schnellere Lösung gefunden als gedacht). In diesem habe ich die 2 Funktionen aus der DLL, welche ich benutze (1. Aufruf der Audio Einstellungen aus dem Control Panel und 2. Abruf des System Directories um zu prüfen, ob die WMVCORE.DLL vorhanden ist und damit ein WMA Codec installiert ist) in das Hauptprogramm eingebaut und die DLL komplett eliminiert. Test kann in ca. 1 Stunde erfolgen. Die gxFunction_System.DLL muss allerdings dann manuell gelöscht werden.

 
  • #18
Wobei die auch das Setup löschen könnte (sollte ein kleines Übel sein), womit Updater keinen Alarm mehr von ihren Virenscanner bekommen. :)

Vielen Dank für die schnelle Reaktion, Aufklärung und Stellungnahme. :)
 
  • #19
@gxdeveloper

Tut gut nach den ganzen Anfeindungen.
Zum Vergrößern anklicken....

Das ganze sollte keinesfalls als Anfeindung verstanden werden.
In meiner Freizeit beschäftige ich mich viel mit der Analyse von Malware, wenn mir dann eine verdächtige Datei von einem User zugesendet wird und dort tatsächlich verdächtiger Code zu finden ist so bin ich darum bemüht herauszufinden wieso dieser dort ist.

Wenn man dann versucht die Sache mit Sätzen wie eine weitere Diskussion findet für mich nicht statt. () abzuwiegeln gibt es leider keinen anderen Weg als die Sache so Publik wie möglich zu machen.
Und letztendlich war dies ja der Grund wieso jetzt eine Änderung herbeigeführt wurde.



Gruss
Rob_LD
 
  • #20
Hallo,

Anfeindungen per Mail, Skype etc. sieht man nicht in den Foren. Ich hatte die Diskussion auch nur abgebrochen, weil ich das Statement von Kaspersky abwarten wollte, die den Quellcode von mir bekommen haben. Das die am Ende Usern zwar antworten, dann aber Ihr Wort nicht halten - dies ist leider sehr schade. Die Änderung ist nicht deshalb geschehen, sondern weil Kaspersky leider nicht Wort gehalten hat. Ich hatte auch überlegt, dass ganze Thema fallen zu lassen. Warum soll ich mir das auch für eine Freeware antun ....
 
Thema:

GTX Transcoder infiziert mit Backdoor.Win32.VB.asy ?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben