Jump to content
smanson

Trojaner oder doch nur Fehlalarm?

Recommended Posts

Hallo zusammen,

KIS 2017 meint zwei verdächtige Dateien bei mir gefunden zu haben:

Erstens:

-  Datei: C:\Users\---\AppData\Local\Temp\Patches\xshell.exe 

- Objektname: UDS:DangerousObject.Multi.Generic    

- Objekttyp: Unbekanntes Objekt   

Und als zweite Datei:

- Datei: C:\Program Files (x86)\NetSarang\Xshell 5\nssock2.dll    

- Objektname: Backdoor.Win32.Shadowpad.a    

- Objekttyp: Trojanisches Programm  

Ich kann mit beiden Beschreibungen leider nicht viel anfangen. Es scheint aber beides mit dem Programm Xshell5  von NetSarang zusammenzuhängen, oder? Mich verwundert es etwas, da ich das schon lange installiert habe. Vielleicht gab es ein Update von dem Programm, dass nicht ganz "koscher" ist oder es handelt sich um einen Fehlalarm (ich bin etwas alarmiert, da ich KIS jetzt seit 2 Jahren oder so einsetze und noch nie einen Fund erhalten habe)? NetSarang gilt lauf Kaspersky jedoch sonst als ein "vertrauenswürdiges Programm".

Kann ich irgendwo einsehen, wie sicher sich KIS mit dem Fund ist? Oder wo kann ich mehr Informationen zum Fund erfahren?

Leider hat KIS beide Dateien gleich gelöscht, sonst hätte ich sie noch gerne aus Virustotal hochgeladen.

 

 

 

Share this post


Link to post

Habe jetzt noch folgendes gemacht:

- KIS2017: Vollständige Untersuchung --> keine Funde

- Microsoft Windows 10 Defender: offline Untersuchung --> keine Funde

- Malwarebytes: Bedrohungs-Scan -->

PUP.Optional.GoHD, in einem Registrierungsschlüssel

- Bitdefender Adware Removal Tool: --> No unwanted applications found

Was auch immer Malwarebytes dort gefunden hat, ich gehe mal davon aus, dass der PC sauber ist.

Share this post


Link to post

Habe gesehen, dass Kaspersky die Dateien nicht gelöscht, sondern in Quarantäne verschoben hat. Habe sie jetzt wiederhergestellt und auf Virustotal hochgeladen:

xshell.exe --> https://virustotal.com/de/file/f86fa8fc2f2428ed145e782894ef3be32b9ea8d60b68b805d8fbd1c5e7af427c/analysis/1502290477/

5/64 Funde (die meisten bekannten Programme melden nichts)

Die andere Datei kann ich gerade nicht hochladen.

 

 

Share this post


Link to post

Wenn Du das schon länger benutzt hast und keine Änderungen des Zeitstempels oder besser Installations-Zeitpunkt der Datei feststellen kannst, sowie Deine Gegentests nur "die üblichen Verdächtigen" an den Tag bringen... 

... gehe davon aus, dass alles in Ordnung ist. ;)

Edited by Schweini

Share this post


Link to post

Danke für eure Hinweise!

Bei Virusdesk erhalte ich (zu xshell.exe)  folgendene Meldung:

Untersuchungsergebnis
Die Datei ist infiziert
Gefundene Bedrohungen
Backdoor.Win32.Shadowpad.a
Dateigröße
31,59 MB
Dateityp
PE32/EXE
Datum der Untersuchung
09 Aug 2017 18:57:33
Datenbanken vom
09 Aug 2017 16:30:47 UTC
MD5
b2c302537ce8fbbcff0d45968cc0a826
SHA1
7cf07efe04fe0012ed8beaa2dec5420a9b5561d6
SHA256
f86fa8fc2f2428ed145e782894ef3be32b9ea8d60b68b805d8fbd1c5e7af427c
 
Aber ist das überraschend - schliesslich findet Kasperksy die Datei auf meinem PC und bei Virustotal auch schädlich?
Edit: Habe die Datei ins Antivirenlabor geschickt! Vielleicht finden sie dort mehr darüber hinaus oder löschen den Fehlalarm.
Edited by smanson

Share this post


Link to post

Habe jetzt auch noch die zweite gefundene Datei untersucht (nssock2.dll), die ebenfalls mit Xshell in Verbindung zu stehen scheint.

Virustotal: https://www.virustotal.com/de/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/analysis/1502298384/

Hier finden 12/64 Virenscannern etwas, darunter auch einige der anderen "grossen" (Symantec, TrendMicro), viele andere aber nichts (AVG, Avast, Avira, Bitdefender, ...). So richtig klar, ob die Datei schädlich oder nicht ist, wird daraus leider nicht.

Virusdesk:

Untersuchungsergebnis
Die Datei ist infiziert
Gefundene Bedrohungen
Backdoor.Win32.Shadowpad.a
Dateigröße
176,20 KB
Dateityp
PE32/DLL
Datum der Untersuchung
09 Aug 2017 19:06:04
Datenbanken vom
09 Aug 2017 16:30:47 UTC
MD5
97363d50a279492fda14cbab53429e75
SHA1
f1a181d29b38dfe60d8ea487e8ed0ef30f064763
SHA256
462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
 
Auch hier habe ich die Datei wieder dem Viruslabor gemeldet.

 

 

Edited by smanson

Share this post


Link to post

Kurzes Update:

Die Datei nssock2.dll wird bei Virustotal mittlerweile von 18 Scannern erkannt (gestern waren es erst 12) - es scheint also leider doch etwas dran zu sein.

https://www.virustotal.com/de/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/analysis/

Dort hat auch ein User geschrieben:

Malicious file, hacker looks to have infiltrated to build system or developer's machine. see function 1000c6c0 .

Dev company hasn't still deprecated the certificate. :(

Ich kann es nicht verifizieren, aber es hört sich zumindest plausibel an.

Share this post


Link to post
Guest bluex

Hast du denn Antworten von Virenlabor erhalten?

Falls nein, kannst du mir die Dateien per privater Nachricht zur Verfügung stellen?

 

Share this post


Link to post

Hallo bluex,

das Viruslabor hat sich bisher noch nicht gemeldet. Ich habe Dir eben eine der beiden Datein geschickt - die andere habe ich nicht mehr. Würde mich interessieren, was Du herausbekommst!

 

Share this post


Link to post

Das hier scheint die Erklärung: https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html

und erklärt auch warum Kaspersky eine der ersten waren die angeschlagen haben. Habe die Software jetzt deinstalilert und werde auf ein Produkt eines anderen Herstellers ausweichen. Ein Exploit in der XShell erscheint mir sehr suspekt. 

On Friday August 4th, 2017, our engineers in cooperation with Kaspersky Labs discovered a security exploit in our software specific to the following Builds which were released on July 18, 2017. Currently, there is no evidence that the exploit was utilized.
The antivirus industry has been informed of the issue and therefore your antivirus may have already quarantined/deleted the dll file which was affected. If this is the case, you will not be able to run the software. You’ll need to update manually by downloading the latest build from the link posted above. Installing the updated build over your existing installation will resolve the issue.

We are working with Kaspersky Labs to further evaluate the exploit and will update our users with any pertinent information.

Edited by smanson

Share this post


Link to post

Noch ein Update:

Kaspersky hat mittlerweile einen lesenswerten Bericht darüber veröffentlicht: ShadowPad: Attackers Hid Backdoor in Software Used by Hundreds of Large Companies Worldwide

Die infizierte Datei wird momentan von 43 von 64 Scannern identifiziert - erschreckend ist aber, dass es immer noch bekanntere Software gibt, die es nicht entdecken, z.B. Avast, AVG oder Comodo. Den "Schutz" kann man wohl in die Tonne treten.

 

Share this post


Link to post

hallo smasnson

nur weil andere es  noch nicht entdeckt haben wie du es sagt  ist der Schutz

....Schutz" kann man wohl in die Tonne treten.

es kommt auch vor das andere mal schneller was entdecken als Kaspersky trittst du dann Kaspersky auch in die Tonne;)

mfg

 

Share this post


Link to post
vor 24 Minuten schrieb Astor27:

 

es kommt auch vor das andere mal schneller was entdecken als Kaspersky trittst du dann Kaspersky auch in die Tonne;)

 

 

 

Hallo Astor27,

das kommt sicher vor,  nur sind seit der Entdeckung mittlerweile ~2 Wochen vergangen, es gibt Pressemitteilungen von NetSarang und Kaspersky, NetSarang hat laut eigener Aussage die Hersteller der Antiviren-Software kontaktiert, der User bluex hat die Datei auch an weitere Hersteller geschickt und selbst der Microsoft Defender erkennt die Datei ^_^ Was braucht es da noch?

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.