Larian Studios Forums General Chat (German) Schwachstelle in Avast!-Virenscannern

Quelle: heise Online

Könnte für den einen oder anderen interessant sein.

Sowas wie gestern ist mir auch noch nicht untergekommen:

Ich habe mir lediglich durch den Seiten-Aufruf eines von mir häufiger besuchten Automobil-Forums gleich ein ganzes Trojaner-Bundle eingefangen, das sofort anfing fleissig Viren zu streuen.

Wie das Ding sich durch 2 Firewalls fressen konnte ist mir ein Rätsel. Der Wurm hat dann sofort die Firewalls deaktiviert, ebenso sämtliche Systemeinstellungsmöglichkeiten und meine Security. Heftig.

Ich musste auf einen 2 Tage alten Systemwiederherstellungspunkt zurückspringen um überhaupt die Security auszuführen zu können (Bitdefender, b.t.w.) und die ganze Malware auszuräuchern.

Jetzt ist wieder alles clean, aber das war schon krass. Da geht man auf eine Seite, die man sonst regelmäßig unbelästigt aufruft und dann das. Die Adresse ist für mich natürlich erstmal gestorben. Hoffentlich kann das hier nicht passieren......

Ich habe auf meinem Desktop die GData Internet Security Suite installiert, und da habe ich noch nie einen Virendurchbruch erlebt. Ich hoffe mal das dies auch so bleibt.
Das einzige was bisher passiert ist, war das zwei Seiten komplett gesperrt wurden weil dort Trojaner in die Webseite eingebaut waren.
Ich habe dann auch darauf verzichtet die Seiten nochmals aufzurufen.
Muss aber auch sagen das diese Seiten nicht unbedingt sicher sind, ich war auf der Suche nach der Vista Sidebar (ich habe jetzt gelesen, (PCPraxis) das die irgendwann einmal auf XP umgebaut wurde und wollte die einfach mal ausprobieren) und habe dabei einige Crackseiten aufgesucht. Von daher weiss ich zumindest das diese Art der Angriffe bei meinem Viruswächter nicht so einfach zu funktionieren scheint. Wobei es sich da natürlich auch um unterschiedlich aktuelle Trojaner gehandelt haben dürfte.
Und nein, ich will es gar nicht ausprobieren <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" /> <img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" />

Also ich surf auch durch so manche zweifelhafte Internet-Präsenz, hab aber bisher alles abwehren können, bzw. schnell gefunden.

Gib ma links Draiggy, will mal spielen ! <img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" /> <img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" />

Nun, "Schwachstelle" ist etwas hart ausgedrückt.
Sicher, im Moment unterlässt es Avast, ein CHM zu öffnen (was, so wie ich Alwil kenne, nicht lange dauern wird).

Tatsache ist aber, wenne in CHM von einem Benutzer geöffnet wird, die einzelnen Komponenten ohnehin vom Hintergrundscanner efasst werden - und mögliche Viren dann entfernt werden.
Der Virus wird also nicht übersehen, sondern einfach später erkannt.

Ich möchte an dieser Stelle noch einmal sagen, dass ich (schon aus beruflichen Gründen) mehr oder weniger alle Gratis-Antiviren-Produkte getestet habe und ich sagen muss, dass Avast dabei den Spitzenplatz belegt (dicht gefolgt von AVG).

Und ich möchte hierbei auch einfach mal auf alle Probleme hinweisen, die Norton, McAfee und Co haben...

DAS nenne ich wahren sportsgeist <img src="/ubbthreads/images/graemlins/smile.gif" alt="" /> <img src="/ubbthreads/images/graemlins/up.gif" alt="" />

Mir ging es nicht darum dieses Produkt schlecht zu machen, sondern nur alle User dieser Software auf ein mögliches Problem hinzuweisen. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />

Mir ging es nicht darum dieses Produkt schlecht zu machen, sondern nur alle User dieser Software auf ein mögliches Problem hinzuweisen. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />

ahhh - SO kommst du also auf über 10.000 posts stone <img src="/ubbthreads/images/graemlins/badsmile2.gif" alt="" />

Nein, so <img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" /> <img src="/ubbthreads/images/graemlins/badsmile2.gif" alt="" /> <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />

Edit:
Ich sehe jetzt erst das ich schon wieder einen Doppelpost produziert habe. <img src="/ubbthreads/images/graemlins/ouch.gif" alt="" />
Ich frage mich wie das immer wieder geschehen kann?
Ich drücke ganz normal einmal auf weiter wenn der Post fertig ist.
Meistens klappt es auch ganz normal, aber manschmal stehen dann zwei Posts da, mit derselben Uhrzeit und allem.
Und das obwohl die Software des Forums eigentlich zwei identische Post eines Nutzers im selben Thread verhindern kann.
Das ist mir nämlich auch schon passiert, und da wußte ich dann das ich doch einmal zuviel auf den Weiter-Knopf gedrückt habe.

<img src="/ubbthreads/images/graemlins/question.gif" alt="" /> <img src="/ubbthreads/images/graemlins/silly.gif" alt="" />

Also ich fande ja Avast die ganze Zeit auch sehr gut, nur in letzter Zeit macht mir das Ding ein paar Probleme.

Vor etwa 2 bis 3 Monaten hat er sich bei einem Update total aufgehängt und ich konnte es weder starten noch deinstallieren wegen der Fehlermeldung "Zugriff verweigert". Zum Glück bietet avast auf ihrer Webseite ein uninstalltool an, mit dem es dann geklappt hat. Und nach Neuinstallation funktionierte es dann wieder.

Tja und seit gestern habe ich das Problem wieder, nur diesmal schlimmer. Zwar kkonte ich es dank Tool wieder deinstallieren, aber wenn ich die neueste Version installieren möchte, startet er es bei mir nach dem benötigten Neustart nicht und ich habe wieder das selbe Problem mit "Zugriff verweigert". Eine ältere 4.7 Version kann ich zwar installieren, aber leider nicht updaten, da ansonsten wieder dieser Fehler auftaucht. Ich hoffe doch mal, daß ich in ein paar Tagen das ganze dann wieder updaten kann. :-/

Und ein neues Problem mit avast. Weiß jemand, was ein "RPC Error" ist?

Tja Stone, vermutlich hast Du Dir die "doublespam.vir.exe" eingefangen.....

<img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" />

Bitdefender ist ja als "Sehr gut" getestet worden und ich war da auch auf dem neuesten Stand. Aber was da gelaufen ist, kann ich mir nicht erklären.

2 Firewalls geknackt UND die Security unterlaufen UND sofort Firewalls, Systemkontrolle und Security deaktiviert, dass war wirklich krass. Meine Security konnte mir gerade noch eine Warnmeldung auf den Schirm schmeissen, dass mein Rechner soeben infiziert worden sei, bevor sie eins übergebraten bekam.

Gut, es ist nix schlimmes passiert und ich konnte das ja auch zügig wieder säubern, aber immerhin. Das stimmt einen schon bedenklich.....

Beeindruckend. Hattest du Javascript aktiviert ?

Es gibt zu Firefox übrigens wieder ein Update.




RPC ist eine Art Windows-interner Nachrichten Dienst, der leider leider angeschaltet bleiben muß. Ich sage leider, da er in der Vergangenheit gerne zum Einfallstor von Viren und Trojanern mißbraucht worden ist.

Vielleicht ist was an diesem Dienst kaputt ? Ist es möglich, ihn neu zu installieren ?

Vielleicht benutzt dein Programm diesen Dienst, und deshalb funktioniert es jetzt nicht mehr richtig, weil der Dienst nicht mehr richtig funktioniert ?

Yep, über MSIE. Ich muss allerdings präzisieren: Ich habe (wie immer) die Site aufgerufen und dann den Link zum Forum geklickt. Damit ging's los. Da das eine seriöse Seite ist, vermute ich mal, dass die gehackt wurde und dieser Link (vermutlich auch alle anderen auf Unterseiten etc.) mit dem Trojaner gekoppelt wurde.

Nach dem Klick auf das Link zum Forum fror der Mauszeiger ein, die Warnung kam und die Installation des Trojaners folgte.

Ich gehe auch davon aus, daß sie gehackt worden ist.

Nebenbei noch eine nicht uninteressante Meldung : http://www.heise.de/newsticker/meldung/73848

Keine Sorge, Stone, ich weiss schon, wie Du das gemeint hast. Und ich finde das auch gut, dass man auf so einen Umstand hinweist.

Ich war eher ein bisschen muffig auf Heise. Ich meine, gerade ein Informatik-News-Portal sollte meiner Meinung nach ein bisschen weniger sensationslustig berichten und etwas mehr erklären.

Auch die letzte Meldung in diesem Thread, über die HP-Archive sind wieder so ein Fall. Denn in diesem Fall handelt es sich wieder um "False-Positives", also um fälschlicherweise angezeigte Viren.
Dummerweise hat HP kein echtes News-Portal, so dass solche Infos meist schwieriger zu finden sind - HP entfernt dann meist einfach das betroffene Archiv, um es "umzubauen".


Rei und Alrik: Der RPC Dienst sollte nicht ausgeschaltet sein. Ganz im Gegenteil. Der RPC-Dienst (Remote Procedure Call) ist ein essentieller Bestandteil von Windows, von dem einige (meist System-)Programme gebrauch machen.

In der Tat macht man sich eine Menge Ärger, wenn man ihn abschaltet. Und so denke ich, Rei, dass Dein Problem nicht von Avast kommt, sondern von etwas anderem, dass genau den RPC-Dienst angreift.
Ich vermute Mal, dass es sich um Spyware handeln könnte.

Welche Programme sind denn von einem RPC Error noch betroffen?

Der RPC-Dienst war vor ein paar Jahren DIE Sicherheitslücke und hat mich damals in den Wahnsinn getrieben, weil ich da noch mit Norton Antivirus gestraft war... und der entsprechende Wurm mich einen Tag vor der Norton-Aktualisierung getroffen hat. <img src="/ubbthreads/images/graemlins/suspicion.gif" alt="" />

Aber dann gabs passende Microsoft-Updates und der RPC-Exploit dürfte kein Problem mehr darstellen. D.h. Pat hat recht, der Dienst sollte auf automatisch stehen und somit starten. Also würde ich mal checken, ob der Dienst in der Liste nicht mehr auf automatisch steht...

Im Übrigen bin ich momentan mit Kaspersky Anti-Virus Personal Pro höchst zufrieden. <img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" /> Als Firewall dient die simple Windows-Firewall und mein Router. Bisher keine Probleme. <img src="/ubbthreads/images/graemlins/smile.gif" alt="" />

In welcher Liste kann ich denn RPC auf automatisch stellen und starten?
Bei msconfig ist sowohl bei "RPC-Locator" und "Remoteprozeduraufruf (RPC)" ein Häkchen

Schau dir die Dienste unter "Systemsteuerung -> Verwaltung -> Dienste" an... da sollte der Remoteprozeduraufruf auf automatisch gestellt sein. Wenn das schon der Fall ist, sehen wir weiter. <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" />