Trojaner in PokerOffice?

    • lilshakira
      lilshakira
      Bronze
      Dabei seit: 25.01.2008 Beiträge: 121
      Hallo,

      meine Firewall (Comodo) hat mich heute beim Installieren von PokerOffice über folgendes informiert:

      Beschreibung: Verdächtiges Verhalten (firefox.exe)
      Programm: e:\programme\Mozilla Firefox\firefox.exe

      Protokoll: UDP Out
      Ziel: 192.168.1.5::dns(53)

      Details: e:\programme\PokerOffice\bin\javaw.exe hat e:\Programme\PokerOffice\bin\pshimp.dll
      nach e:\Programme\Mozilla Firefox\firefox.exe unter Benutzung sog. Global_Hooks geladen,
      welche auch von Keyloggern zum Stehler persönlicher Daten benutzt werden könnten.

      Analog kamen danach noch die Meldungen

      ... nach msnmgr.exe

      Details: e:\programme\PokerOffice\bin\javaw.exe hat e:\Programme\PokerOffice\bin\pshimp.dll
      nach msnmgr unter Benutzung sog. Global_Hooks geladen,
      welche auch von Keyloggern zum Stehler persönlicher Daten benutzt werden könnten.

      Details: e:\programme\PokerOffice\bin\javaw.exe hat e:\Programme\PokerOffice\bin\pshimp.dll
      nach e:\Programme\Skype\Skype.exe unter Benutzung sog. Global_Hooks geladen,
      welche auch von Keyloggern zum Stehler persönlicher Daten benutzt werden könnten.


      Also das kommt mir schon höchst verdächtig vor!

      Leider kann ich diese pshimp.dll nicht analysieren.

      Die Software wurde direkt von Pokeroffice.com als Testversion heruntergeladen - denke ich zumindest.

      Sollte da wirklich ein Trojaner eingebaut sein? Das wäre ja ein schöner Skandal.

      Sollte sich jemand auskennen, dann kann ich ihm die dll gerne zumailen.

      Was haltet ihr davon?

      Gruß
      lil shakira
  • 3 Antworten
    • fuzz1983
      fuzz1983
      Bronze
      Dabei seit: 29.06.2007 Beiträge: 2.520
      Lads doch mal bei virustotal hoch und guck was passiert ;)

      Sieht aber sauber aus. Hooks sind ja von nöten um vernünftig die Tische zu erkennen...
      Und die javaw.exe ist die "normale" Java-Executable (PokerOffice = Java-Proggie). Möglich dass Java grundsätzlich Firefox sucht/nutzt für Standardabfragen (neue Version usw...)
    • lilshakira
      lilshakira
      Bronze
      Dabei seit: 25.01.2008 Beiträge: 121
      Hallo fuzz,

      vielen Dank für Deine Antwort.

      Ich werde das mal hochladen - die Firewall lässt auch direkt einen Versand zu an Comodo.

      Was mich halt wundert ist die seltsame Meldung der Firewall und dass sich PO mit jedem Kommunikationsprogramm verbindet.

      Was hat MSN, Skype und mein MailClient (den hatte ich in der obigen Aufzählung vergessen) mit PO bzw. der Tischerkennung zu tun?

      Gruß
      lilshkira
    • Pokerjockey
      Pokerjockey
      Bronze
      Dabei seit: 19.03.2007 Beiträge: 116
      du kannst doch bei PokerOffice eine eMail-Abfrage oder sowas einstellen.
      So abwegig ist das also garnicht

      "Check POP3 eMail for Hand-History"