Ist das ein echter Virus?



  • Hallo,

    ich wollte Meson auf Windows installieren (wegen fontconfig), dann meldete aber der Virenschutz es sei ein Virus Screenshot.

    Link zu Datei mit angeblichem Virus

    Also falls es tatsächlich ein Virus hat, wie kommt der Virus dort hin?



  • @titan99_
    Hast du die verdächtige Datei schon bei Virustotal hochgeladen und auf Viren geprüft?



  • @Quiche-Lorraine sagte in Ist das ein echter Virus?:

    @titan99_
    Hast du die verdächtige Datei schon bei Virustotal hochgeladen und auf Viren geprüft?

    Nein. Ich kenne mich mit Viren auch nicht aus. Also bevor ich die *.exe speichere, sollte ich doch wissen, ab wann der Virus aktiv werden kann.

    Also kann ein Virus in einer *.exe auch aktiv werden, ohne dass die Datei ausgeführt wird?

    Edit: sehe gerade die Möglichkeit search or scan a URL auf der Website von Virustotal. Anscheinend was anderes.



  • @titan99_
    Das Virus kann, soweit ich weiß, auch im Icon stecken.

    Das heißt sobald du ein Icon im Explorer siehst, ist dein System infiziert.

    Der Explorer lädt hierzu vermutlich das Icon aus der Exe und dieses ist manipuliert s.d. eine Sicherheitslücke (mutmaßlich Overflow) ausgenutzt wird. Der Shellcode dürfte Teil des Icons sein.





  • @Quiche-Lorraine
    Danke für die Antworten. Ich wusste vorher nicht, dass sich ein Virus ausführen kann, ohne dass die Datei mit dem Virus ausgeführt werden muss. Wäre da wohl zu unvorsichtig gewesen.

    Aber wie wohl der Virus in diese *.msi Datei kommt?

    Oder ist es trotzdem keiner, weil vielleicht einfach eine "Signatur" dazu gefügt wurde, die dann der Virenscanner erkennt. Aber ich habe auch keine Ahnung wie ein Virenscanner funktioniert.

    Edit: Jemand hat ein Issue vor 8 Stunden geschrieben, wo in einem Kommentar eine Erklärung steht: Issue.



  • @titan99_ sagte in Ist das ein echter Virus?:

    Ich wusste vorher nicht, dass sich ein Virus ausführen kann, ohne dass die Datei mit dem Virus ausgeführt werden muss.

    Doch ja das geht leider.

    Wenn du ein Programm hast, das Daten verarbeitet, und dabei z.B. einen "unchecked buffer" verwendet (also z.B. etwas in ein lokales Array kopiert ohne vorher die Länge zu prüfen), dann kann es sein dass das Programm dadurch seinen Stack überschreibt. Und wenn man geschickt genug beim Überschreiben des Stacks ist, dann kann man das Programm damit beliebigen Code ausführen lassen. Das geht dummerweise sogar trotz "NX" Flag. Der Name der Technik fällt mir leider gerade nicht ein, aber man sucht sich dabei passende Codestellen in einem Programm die man "verketten" kann. Jede Codestelle führt dabei nur ein paar wenige Instruktionen aus und dann kommt ein "return". Und indem man die Adressen der Codestellen in der passenden Reihenfolge auf den Stack klatscht, kann man damit eben beliebigen Code ausfürhen.

    D.h. wenn du ein Programm bzw. eine Library hast die JPEGs liest, und so ein Problem hat, dann kannst du dich mit dem Aufmachen des JPEGs allein infizieren. Wobei "aufmachen" nicht heissen muss dass du das JPEG doppelklickst - du bekommst ja z.B. eine Vorschau im Explorer. Bzw. das selbe kann passieren wenn die JPEG Library in deinem Browser so einen Bug hat.

    Solche Schwachstellen gibt's auch immer mal in Netzwerk-Code. Das ist dann besonders Lustig, da reicht es dann u.U. dass du deinen PC ans Netzwerk ansteckst und schwupps ist er schon infiziert. Schönes Beispiel dafür: https://en.wikipedia.org/wiki/SQL_Slammer
    Lies dir die "technical details" dazu durch. Das ist fast zu geil um wahr zu sein 🙂



  • @titan99_

    DLL Hijacking ist ein einfaches Beispiel.

    So ein Setup in Form einer EXE nutzt ja immer eine Menge von System-DLLs. Wenn man nun eine DLL mit dem gleichen Namen, den gleichen Funktionen und der gleichen Funktionalität programmiert bzw. auf die Original DLL mappt und diese in das Verzeichnis der EXE legt, dann ist die Wahrscheinlichkeit hoch, dass die EXE diese mit Adminrechten lädt.



  • @Quiche-Lorraine sagte in Ist das ein echter Virus?:

    DLL Hijacking

    Ja, auch so ein Ding.
    Dabei fällt mir auf, ich sollte mir wieder abgewöhnen runtergeladene Installer direkt aus dem Download-Verzeichnis auszuführen. Besser erstmal in ein eigenes Verzeichnis kopieren/verschieben.
    Andrerseits lad ich auch keine DLLs von irgendwo runter auf die mir mein guter Bekannter von dem ich heute das erste mal höre per Email nen Link geschickt hat 🙂





  • @hustbaer sagte in Ist das ein echter Virus?:

    Das geht dummerweise sogar trotz "NX" Flag. Der Name der Technik fällt mir leider gerade nicht ein,

    Eingefallen: https://en.wikipedia.org/wiki/Return-oriented_programming


Log in to reply