#289 closed Fehler/Defekt (invalid)
Trojaner versteckt?
Reported by: | Owned by: | ||
---|---|---|---|
Priority: | hoch | Milestone: | Neo Version 2.0 |
Component: | Treiber: Windows – AHK | Version: | 2.0 Final |
Keywords: | Trojaner | Cc: |
Description
Guten Tag,
ich erhielt heute auf der Arbeit einen Anruf von ziemlich weit oben in der Verwaltung - die IT-Abteilung. Der nette Herr meinte, es befinde sich ein Virus, genauer gesagt ein Trojaner (wobei ich nicht weiß, ob er den Unterschied kennt), auf meinem Rechner, d. h. es würde an der AHK-Datei ”neo.exe” ein Trojaner hängen.
Tja... ob das jetzt so ist, oder ob das Virenprogramm unseres Arbeitgebers überempfindlich reagiert hat und der IT-Abteilungsleiter nicht ganz wissend in seinem Fach ist, kann ich nicht objektiv und sicher beurteilen. Daher sicherheitshalber der Hinweis, dass sich hier evtl. ein Schädling befindet (die Datei habe ich auf dieser Seite heruntergeladen (ist schon ziemlich lange her, etwa zwei Jahre).
Ich würde mich über eine Antwort und eine Erklärung freuen.
Mit freundlichen Grüßen
Maximilian Wilhelm
Change History (2)
comment:1 by , 13 years ago
Resolution: | → invalid |
---|---|
Status: | new → closed |
comment:2 by , 13 years ago
Hallo Max,
die technischen Hintergründe, warum diverse Virenscanner mitunter Fehlalarme beim NeoVars schlagen, hat Mœsi ja schon ausführlich erklärt. Der NeoVars muss naturgemäß wissen, welche Tasten vom Benutzer gedrückt werden; leider ähnelt die technische Realisation einem Keylogger, aber das macht den NeoVars nicht zur Mailware.
Eine kleine Ergänzung: Wenn Du (bzw. Eure IT-Abteilung) ganz sicher sein wollt, das der NeoVars ›sauber‹ ist (sprich, wenn Euch Mœsis Erklärung nicht reicht), könnt ihr ihn auch selbst aus den Quellen bauen/kompilieren. Das ist natürlich aufwendiger, als einfach die fertige exe-Datei von uns herunterzuladen, aber so müsst Ihr unseren Builds nicht vertrauen. Wobei bei diesem Weg der noch größere Aufwand darin läge, erstmal den Quelltext durchzulesen, um sicherzugehen, dass wir da auch wirklich keine ›Fieslichkeiten‹ versteckt haben … also, falls Eure IT-Abteilung grade etwas Langeweile haben sollte … ;)
Neo ist jedoch freie Software, so dass das eigentlich jeder machen könnte – und da viele Augen mehr sehen als wenige, kann man guten Gewissens davon ausgehen, das der NeoVars ›sauber‹ ist.
Hallo Max!
Ich bin der Entwickler von neo-vars, der AHK-Implementierung von Neo.
neo20.exe http://neo-layout.org/neo20.exe ist eine Art Paket, das eine komplette AutoHotkey-Applikation als alleinstehendes Binary repräsentiert und besonders leicht und schnell heruntergeladen und betriebsbereit ist.
neo20.exe muss, wie jede andere AutoHotkey-Applikation, die Tastendrücke „mitschneiden“, um sie analysieren und gegebenenfalls durch korrigierte Signale ersetzen zu können. Die für dieses Mitschneiden notwendigen Systemaufrufe schauen denen einer Malware, die es auf das Loggen von Passwörtern abgesehen hat, zum Verwechseln ähnlich, weshalb AutoHotkey http://www.autohotkey.com in der Vergangenheit auch schon des öfteren bei Virenscannern hängen geblieben ist.
Ich habe das aktuelle neo20.exe mal eben bei Virustotal http://www.virustotal.com/ zum Online-Test geschickt. Die noch immer gültige Analyse vom 29.12.2011 http://www.virustotal.com/file-scan/report.html?id=cd9e74df66f8f9f21d068a6c36696ce106014b9b5e594b0dd9ce7869b50aa0b3-1325179905 zeigt eine Virus-Trefferrate von 1/40. Der einzige Treffer ist dieser hier:
McAfee-GW-Edition 2010.1E 2011.12.29 Heuristic.BehavesLike.Win32.ModifiedUPX.C!87
Ich weiß jetzt nicht genau, was BehavesLike.Win32.ModifiedUPX.C!87 bedeutet, aber ich vermute einmal stark, dass diese Virenscanner-Ausgabe genau die Systemaufrufe zum Mitschneiden der Tastendrücke im Programmcode entdeckt und deshalb Alarm schlägt. Es handelt sich auch, dem Namen nach, um eine Heuristik, d.h. der Programmcode wird nach bestimmten Code-Fragmenten durchsucht, nicht nach tatsächlich entdecktem Virenschadcode.
Ich würde also sagen, die aktuelle Version ist soweit sauber. Inwieweit das auf eine etwa 2 Jahre alte Version zutrifft, möchte ich nicht beurteilen. Am Einfachsten wird es sein, du lädst Deine neo20.exe-Datei bei dem Online-Virenchecker hoch und schaust, was die dazu zu sagen haben.
In jedem Fall würde ich Dir die aktuelle Version empfehlen.
Ich mach dann hier mal zu.