Vor verwendung von HM warnen in den News!

    • Nani74
      Nani74
      Black
      Dabei seit: 15.12.2005 Beiträge: 12.416
      Siehe hier:

      Malware Table Scanner

      Der HM Typ im Forum faselt nur ständig wir sollen uns beruhigen, aber eine Datei breitet sich auf dem Rechner aus. Es wird immer unwahrscheinlicher dass es sich hierbei um einen normalen Prozeß handelt. Daher würde ich vorsichtshalber wenigstens die Community mit einer News informieren/warnen. Bin kein Freund von Panikmache, aber sowas gehört in die News. Sieht so aus, dass HM von hackern geknackt wurde und den Trojaner ohne Wissen der Betreiber verbreitet.

      Dazu schafft es HM nicht seit Tagen, Antivir etc. davon zu überzeugen dass es KEINE gefährliche Datei ist. Normalerweise ist dies ein Prozess von Minuten/Stunden, bei einem Programm derartiger Größe und Ausbreitung.
  • 46 Antworten
    • Scooop
      Scooop
      Bronze
      Dabei seit: 26.03.2009 Beiträge: 24.053
      jetzt bin ich panisch... :(

      kannst du etwas genauer werden Nani? Habe schon mal die Dokumente von 3 Jahren Arbeit durch nen PC Befall verloren und bin daher... sehr vorsichtig geworden... ;)

      HM schon mal deaktiviert :P
    • Nani74
      Nani74
      Black
      Dabei seit: 15.12.2005 Beiträge: 12.416
      Wie gesagt ich kenne mich damit mittlerweile nicht mehr aus. Ich erinnere nur damals an PokerPattern, da war auch mal sowas im Umlauf bei ner gängigen "offiziellen" Pokersoftware.

      Wie gesagt ich bin kein Panikfreund, aber es sollte zumindest jeder der HM besitzt um diese Probleme derzeit wissen. Schön, wenn es sich als nicht schlimm herrausstellen sollte, aber safety first. Gerade PS.de sollte da mit Vorbildfunktion und im Sinne seiner Mitglieder wenigstens mal ne News machen, ganz ohne Panik sondern die Infos allen zugänglich machen!
    • krong
      krong
      Moderator
      Moderator
      Dabei seit: 25.12.2005 Beiträge: 14.425
      Das mit pokerpattern hätte ich mal gerne bestätigt. Mein google findet da nämlich nix zu...
    • nmnmnm
      nmnmnm
      Black
      Dabei seit: 29.01.2007 Beiträge: 441
      kenne zig programme, die von mittelklassiger AV software als malware (malware != virus übrigens) "erkannt" werden.

      panik nicht nötig.
    • krong
      krong
      Moderator
      Moderator
      Dabei seit: 25.12.2005 Beiträge: 14.425
      Mit mittelklassiger AV Software hat das eher weniger zu tun.
      Solche false positive Funde kommen eigentlich bei jeder Software mal vor.
      Bei derart sensiblen Daten sollte man das allerdings m.E. nicht einfach mit einem "passt schon" abtun.
      Nani hat zumindest insoweit Recht, dass die Überzeugungsarbeit der HM Entwickler ungewöhnlich lange dauert...
    • MoerkJ
      MoerkJ
      Bronze
      Dabei seit: 06.04.2006 Beiträge: 546
      Original von Nani74
      Wie gesagt ich kenne mich damit mittlerweile nicht mehr aus. Ich erinnere nur damals an PokerPattern, da war auch mal sowas im Umlauf bei ner gängigen "offiziellen" Pokersoftware.
      Du meinst wohl die alte Geschichte mit dem komischen Rakeback-Kalkulator (RBCalc.exe). Damals wurde die Website gehackt und das Tool gegen eine infizierte Version ausgetauscht. Der Betreiber hat das damals erst Wochen oder Monate später bemerkt.

      Virusbeschreibung Backdoor.Win32.Small.la
    • 4ultima
      4ultima
      Bronze
      Dabei seit: 04.02.2008 Beiträge: 3.158
      Original von Nani74
      Der HM Typ im Forum faselt nur ständig wir sollen uns beruhigen, aber eine Datei breitet sich auf dem Rechner aus. Es wird immer unwahrscheinlicher dass es sich hierbei um einen normalen Prozeß handelt. Daher würde ich vorsichtshalber wenigstens die Community mit einer News informieren/warnen. Bin kein Freund von Panikmache, aber sowas gehört in die News. Sieht so aus, dass HM von hackern geknackt wurde und den Trojaner ohne Wissen der Betreiber verbreitet.
      Woher nimmst du die Grundlage für die markierten Aussagen? Hört sich für mich nur nach deinen persönlichen Vermutungen an.

      Diese Möglichkeiten gibt es meiner Meinung nach (Ergänzungen erwünscht):

      1. Nehmen wir mal an, es ist Crackern gelungen, die auf dem Server bereitgestellte HMBetaUpdate.exe mit schadhaftem Code zu infizieren. Die HM-Devs hätten das längst überprüfen und veröffentlichen können, denn sie kennen ja ihren Code (desweiteren gibt es z. B. Checksums, Serverlogs). Ist halt die Frage, ob man den Devs und Admins vertraut.

      2. Die Devs haben absichtlich eine Backdoor in ihre Software eingebaut und gehofft, dass es kein Scanner merkt. Eher die Variante für Verschwörungstheoretiker.

      3. Durch das Update von HM kam eine Sicherheitslücke (á la Buffer Overflow Exploits) ins Programm, die ein Cracker schnell identifiziert und ausgenützt hat. Die Betonung liegt allerdings auf "schnell" und HM scheint gar keine Verbindung zum Internet offen zu haben. Ausschließen kann man sowas natürlich nie.

      4. Mit Abstand die wahrscheinlichste Möglichkeit: Die Antivir-Programme erkennen ein Muster, das sie auf einen Trojaner schließen lässt. Der Großteil solcher Scans besteht halt einfach nur aus dem Anwenden von Heuristiken. Diese liegen oft falsch.
    • Bluejanis
      Bluejanis
      Bronze
      Dabei seit: 05.03.2007 Beiträge: 2.991
      naja du kennst ja nani, trotzdem ist es schon komisch, dass die virusmeldung immer noch vorliegt und antivir das noch nicht behoben hat oder?

      Ist denn Antivir das einzige antivirenprogramm, welches den alarm anzeigt oder hat sonst noch wer woanders ne meldung bekommen? Avast hat bei mir bisher keinen virus gefunden, habe aber in letzter zeit hm auch nicht geupdated und werde das wohl nun vorerst auch nicht tun.
    • Jayston
      Jayston
      Black
      Dabei seit: 14.07.2005 Beiträge: 9.369
      .
    • LordAnubiz
      LordAnubiz
      Bronze
      Dabei seit: 27.10.2007 Beiträge: 753
      ich hab auch länger nicht HM geupdated, und nach nem rechnercrash gestern (ich start nich so oft neu *g*) sprang der avast dann auch an.

      also das hat nix mit ner neuen version zu tun, hatte glaub ich die 30b gehabt!
      recht klar ne falschwarnung!
    • MLP123
      MLP123
      Bronze
      Dabei seit: 30.05.2006 Beiträge: 609
      ich habe HM seit mehreren Monaten. Mein Virenprogramm GData zeigt heute einen Trojanerbefund im HM an. Ich kann deshalb HM nicht starten. Die Daten wurden jetzt an GData zur Überprüfung gesandt.
    • Bluejanis
      Bluejanis
      Bronze
      Dabei seit: 05.03.2007 Beiträge: 2.991
      seltsam, dann müsste das ja ne neue virendefinition sein die auf hm zutrifft. Eindeutig weiß man trotzdem erst wenn die mal anworten..
    • netsrak
      netsrak
      Gold
      Dabei seit: 11.03.2006 Beiträge: 37.114
      Nun lasst doch mal die Kirche im Dorf, es handelt sich eindeutig um einen False positive Alarm ausgelöst durch ein Update der Virensignaturen einiger Virenscanner (ca. 10 von 40 sprechen an).
      Wir arbeiten mit Hochdruck an einer Lösung da der Kontakt mit den Software Herstellern zu lange dauern würde und das in Zukunft wieder passieren könnte.

      Ich habe heute morgen gelesen dass es z.B. bei AVG ein neues Update gegeben hat, dass HM nicht mehr als infiziert erkennt. Ich denke die anderen werden kurzfristig nachziehen.
    • xites
      xites
      Bronze
      Dabei seit: 02.06.2006 Beiträge: 1.011
      wenigstens macht sich jemand die mühe es überhaupt zu erwähnen und user darauf hinzuweisen, auch wenn es sich als Falschmeldung erweist.
    • Nani74
      Nani74
      Black
      Dabei seit: 15.12.2005 Beiträge: 12.416
      Sollte AVG AntiVirGuard sein, dann hab ich das neue Update gerade gezogen und nach Installation kommt frisch wieder die selben Virenwarnungen. Aber zum Glück nur auf dem Laptop, weil mein Pokersystem habe ich erstmal neu aufgesetzt.
    • karofuenf
      karofuenf
      Bronze
      Dabei seit: 27.11.2007 Beiträge: 1.198
      avg und antivirguard sind meines wissens zwei verschieden produkte.
    • Kick4Ass
      Kick4Ass
      Moderator
      Moderator
      Dabei seit: 04.05.2007 Beiträge: 17.109
      @Nani,

      Mich würde mal interessieren wohin sich Deine Dateien verbreiten ?? Bei mir verbreitet sich definitiv nichts, es sind immer die gleichen Stellen wo der Alarm kommt.

      Das ist im Verzeichniss des HM, und im Verzeichniss "System Volume Information", alle anderen Verzeichnisse bleiben unberührt
    • netsrak
      netsrak
      Gold
      Dabei seit: 11.03.2006 Beiträge: 37.114
      ********* UPDATE *********

      We are making progress with the new tool to compile the program. Like i mentioned before we are going to stop using Xenocode because the way it is virtualizing things is in part causing these false positives.

      So far it is working but there are a couple of performance related things I need to tweak. We'll have a new build today that won't trigger any of these anti virus programs.

      Again, sorry about the problem, it has been incredibly frustrating for us as well

      Thanks,
      Roy
    • Nani74
      Nani74
      Black
      Dabei seit: 15.12.2005 Beiträge: 12.416
      So langsam reichts mir aber, was soll dass irgendwelches Zeug in englischer Sprache in einem deutschen Forum zu posten? Ich meine es kann ja durchaus hilfreich sein, was DU postest nur versteht dass ein Deutscher nicht und ich würde es gerne verstehen weil ich ein PROBLEM habe.