Teamdrive wird als Virus/Trojaner erkannt

Questions and information regarding the Linux desktop client - Fragen und Informationen zum Linux Desktop-Client

Teamdrive wird als Virus/Trojaner erkannt

Postby Tronde » 14 Aug 2009, 18:35

Hallo.

Ich wollte mir heute die den TeamDrive Client für Linux 2.1 Release herunterladen.

Dabei wurde die Datei vom Gateway Antivirus unserer SonicWall als der Trojaner OnLineGames.TQEU erkannt. Als ich die Datei dann auf meinen Testrechner daheim herunterladen wollte sprang AntiVir an und erkannte den Virus Linux/Soldath.A.

Geht das sonst noch jemanden so? Ich bin jedenfalls verunsichert und sehe erstmal von einem Download der Datei ab.

Gruß
Tronde
Tronde
 
Posts: 121
Joined: 09 Mar 2009, 17:16

Re: Teamdrive wird als Virus/Trojaner erkannt

Postby Detlef Schmuck » 14 Aug 2009, 21:21

Hallo Tronde,

wir testen und überprüfen den Vorgang.

Wir hatten schon mal eine Zeile Code die einen Hash ergeben hat der Virenverdächtig war. War nichts dran, aber halt eine Warnung.

Danke für den Hinweis und wir melden uns in ein paar Stunden noch mal.

VG
Das TeamDrive Team
Detlef Schmuck
TeamDrive Team Member
 
Posts: 673
Joined: 07 Jul 2008, 19:20

Re: Teamdrive wird als Virus/Trojaner erkannt

Postby Detlef Schmuck » 14 Aug 2009, 21:41

Hallo,

das Erkennungsmuster für den Virus:
LINUX/Soldath.A
ist erst seit gestern bekannt

http://www.avira.de/de/threats/section/ ... 5.110.html
Die Windows-Avira-Version meldet die Datei auch, wenn man sie runter lädt.

Ich habe den Installer entpackt und keine unserer Dateien ist betroffen. Es sieht so aus, als ob der Linux-Installer selber das Erkennungsmuster enthält. Dafür spricht auch, dass es in dem Installer noch ein „uninstall“-Tool gibt, das auch als Virus erkannt wird.

Es gibt jetzt 3 Möglichkeiten:
- Es ist wirklich ein Virus im InstallJammer drin, wobei das alles OpenSource ist: http://www.installjammer.com/ und jeder da rein gucken kann, was der macht
- Das Erkennungsmuster springt zufällig auf eine Byte-Folge an, die im InstallJammer vorkommt (den Fall hatten wir bei TeamDrive 1 ja auch schon gehabt)
- Irgendein Linux-Virus verwendet auch den InstallJammer und die Anti-Viren-Hersteller haben die falsche ByteFolge verwendet zur Erkennung des Virus

Die Virus-Meldung erhält man auch, wenn man sich den Install-Jammer auf der Webseite runter lädt:

http://downloads.installjammer.com/inst ... 86-Install

Das Problem hatte Install-Jammer schon mal:

http://www.installjammer.com/forums/vie ... virus#p641

Die Routine mit der sie packen, wird wohl als Virus erkannt.

So wie die ersten Analysen ergeben haben ist der Virus Alarm ein Fehlalarm.

VG
Das TeamDrive Team
Detlef Schmuck
TeamDrive Team Member
 
Posts: 673
Joined: 07 Jul 2008, 19:20

Typischer Fall von "false positve"

Postby Freebie » 15 Aug 2009, 11:12

Ein typischer Fall von "false positive".

Ich habe das auf einer virtuellen Maschine getestet. 1. passiert
nichts worum man sich Sorgen machen müsste und 2.wird auch keine
fremde Datei angefasst. Datenverkehr zu irgendwelchen Webseiten passiert
da auch nicht. Ansonsten ist (wenn man sich vom InstallJammer die tar.gz
runterlädt) die Datei Binaries/Linux-x86/installkit die
"fehlerverursachende". Die stammt vom 11. Nov 2008. Selsamerweise ist
die x86_64 (64 Bit Version) nicht betroffen.
Wenn man dann Google bemüht wird für den "Virus" Soldath.A genau ein
Treffer angezeigt: Avira Definitions Update. Scheint ja bannig
verbreitet zu sein.

Abgesehen davon das ein Virus unter Linux keinen Sinn macht scheint da
mal wieder einer bei den Definitionen geschlampt zu haben. Das ein
Programm 10 Monate einen Virus enthalten soll der ausschließlich in der
Install/Uninstall Routine ist und NICHT verbreitet wird und nicht
gefunden wird ist doch mehr als unwahrscheinlich.

JB
Freebie
 
Posts: 6
Joined: 09 Jan 2009, 16:34

Re: Teamdrive wird als Virus/Trojaner erkannt

Postby Tronde » 16 Aug 2009, 22:03

Hallo.

Vielen Dank für die schnelle Analyse. Dann werde ich das Update ruhigen Gewissens einspielen.

MfG
Tronde
Tronde
 
Posts: 121
Joined: 09 Mar 2009, 17:16

Re: Teamdrive wird als Virus/Trojaner erkannt

Postby volkeroboda » 17 Aug 2009, 13:27

Hallo zusammen,

Das Avira Virus Lab Response Team bestätigt, das die Dateien "CLEAN" sind

Volker Oboda
volkeroboda
TeamDrive Team Member
 
Posts: 583
Joined: 10 Jul 2008, 19:53


Return to Linux

Who is online

Users browsing this forum: No registered users and 11 guests

cron