Virus Win32.Induc im Recordings Service 1.5.0.31!

[DeJe]

Laut Avast! ist das Setup vom Win32.Induc Virus befallen.

 

Dieser befällt Systeme auf denen Delphi installiert ist. Könnten das die Entwickler bitte einmal prüfen?

 

Hier die entsprechende Heise-Meldung. Schaden richtet er wohl keinen an.

[hackbart]

Ja, die aktuelle Version vom Service ist nicht betroffen, das gleiche gilt für alle anderen Anwendungen die im Mitgliederbereich zu finden sind.

Für Delphienwickler habe ich ein kleines Monitoringtool geschrieben das den kompletten Lib-Pfad überwacht, allerdings haben mittlerweile alle Antivirenhersteller die Erkennung

eingebaut. Da ich aber befürchte, dass der neue Ansatz durch Trittbrettfahrer früher oder später missbraucht werden kann rate ich anderen Entwicklern alle Dateien

in dem Lib-Pfad von Delphi zu überwachen, oder gleich bei jedem Projekt die notwendigen Systemfunktionen manuell mit zu kompilieren.

 

Christian

[Tjod]

die aktuelle Version vom Service ist nicht betroffen

Die Aussage stimmt so nicht! Der Recordings Service 1.5.0.31 Beta enthält den Virus. Das ist seit Gestern Nachmittag bekannt.

 

Wie du weißt, hat Lars daraufhin die Version mit Virus kommentarlos gegen eine ohne Virus ausgetauscht (mit identischer Versionsnummer). Wer den Service also jetzt nochmal herunterlädt bekommt eine ohne Virus.

[Dr Udo Zucker]

Hi,

 

Ich habe gerade den RecordingService 1.5.0.31 Beta, wie vorgeschlagen, heruntergeladen und neu installiert.

 

Nun meldet Norton Internet Security, dass es sich bei "dvbctrl.exe" um einen Trojaner Virus des Typs Suspicious.MH690.A handele. Dies war auch schon bei der alter Version 1.5.0.31 Beta der Fall, weshalb ich bisher das File vom Scan ausgeschlossen hatte. Die Meldung kam nicht mit der Version 1.5.0.2 (ich hoffe, ich habe die Nummer noch korrekt im Kopf).

 

Weshalb ist diese Meldung nun vorhanden und kann man nach dem oben gesagten dieses File sicher aus dem Virus Scan ausblenden?

 

P.S.: Die Auslieferung zweier verschiedener Programme mit exakt gleicher Bezeichnung gibt mir wenig Vertrauern in das Änderungsmanagement. Selbst wenn dies aus einem guten Vorsatz geschehen sein sollte, so ist es dennoch nicht empfehlenswert.

 

Gruß Udo

[Griga]

Nun meldet Norton Internet Security, dass es sich bei "dvbctrl.exe" um einen Trojaner Virus des Typs Suspicious.MH690.A handele.

Hierbei gehe ich von einem "false positive" aus. Avira bemängelt bei mir die Datei nicht.

 

Die Auslieferung zweier verschiedener Programme mit exakt gleicher Bezeichnung gibt mir wenig Vertrauern in das Änderungsmanagement.

Die "internen" Meinungen über diese Vorgehensweise sind kontrovers. Ich hätte es anders gemacht, aber die Handhabung des Recording Service liegt nicht in meiner Verantwortung.

[Tjod]

Wenn man sich unsicher ist ob es sich um einen Fehlalarm handelt ist http://www.virustotal.com/ eine gute Adresse. Da kann man die Datei leicht von mehreren Virenscannern untersuchen lassen.

 

Dann kann man auch einfach die URL mit den ergebnissen als Link Posten um eine weitere Meinung dazu einzuholen.

 

In dem Fall mit Suspicious.MH690.A würde ich aber auch von einem Fehlalarm ausgehen:

Suspicious.MH690.A is a detection technology designed to detect entirely new malware threats without traditional signatures. This technology is aimed at detecting malicious software that has been intentionally mutated or morphed by attackers.

Edited August 19, 2009 by Tjod

[Dr Udo Zucker]

Ich habe das File per www.virustotal.com prüfen lassen und Symantec und eSafe sehen es als "suspicious". Ich werde es ausblenden, aber frage mich, ob es eigentlich "notwendig" ist. Norton Internet Security hatte es gelöscht und der RecordingService + sein Webinterface liefen weiter - allein der Icon in der Notification Area fehlte.

Gruß Udo

[Tjod]

In fast allen Virenscannern gibt es eine Möglichkeit einen Fehlalarm zu melden. Das ist im Normalfall die beste Lösung.

 

dvbctrl.exe ist zum Betrieb des Recording Service an sich nicht zwingend notwendig. Darüber wird nur die Warnung vor dem Herunterfahren eingeblendet und man kann den Service Starten und stoppen und das Konfigurations Tool aufrufen.

[Kex]

Das hat mich jetzt etwas beunruhigt. Der RecordingService läuft bei mir auf einem (Windows Home) Server.

Also habe ich zur Sicherheit gleich das komplette \Programme\ Verzeichnis über Netz mit GData Antivirus 2010 gescanned (die 1.5.0.31 hatte ich kurz nach Veröffentlichung runtergeladen und installiert). Tatsächlich wird der Win32.Induc gefunden, allerdings nicht(!) in der "dvbctrl.exe" sondern in "svc_setup.exe", "DVBVservice.exe" und "svcoptions.exe".

 

Zum Installationszeitpunkt meldete GData noch alles sauber ( sorry, ich installiere nichts ohne Scan ).

 

Den Service Installer neu runtergeladen und der ist sauber. Zur Sicherheit alle 3 gemeldeten Dateien und zusätzlich noch die "dvbctrl.exe" gelöscht, anschließend 1.5.0.31 Setup neu installiert. Gdata meldet jetzt wieder alles OK.

 

Eigentlich schaue ich nur ab und zu ob es eine neue Version gibt, gab es aber augenscheinlich nicht. Nur zufällig bin ich dann auf dieses Thema gestoßen. Eine etwas offenere Kommunikation bzw. eine neues Release mit neuer Versionsnummer wäre ME schon wünschenswert gewesen ...

 

Ein Virenbefall kann ja jedem mal passieren (sogar der Computer Bild ;P). Dafür muß man sich nicht schämen!

 

Aber jetzt genug gemeckert. Ansonsten muß ich den DVBViewer inkl. Recording Service eigentlich loben. Für meinen Einsatzbereich das Optimum was es so gibt! Bitte macht weiter so!

 

Grüße Patrick

[Tjod]

Eine etwas offenere Kommunikation bzw. eine neues Release mit neuer Versionsnummer wäre ME schon wünschenswert gewesen ...

Hätte ich mir auch gewünscht. Aber das sehen der/die Verantwortliche/n anders.

[ElecardFAN]

Und was soll deiner Meinung nach geschrieben werden ? Die meisten Nutzer haben doch sowieso keine Ahnung und schieben automatisch Panik sobald man das Schlagwort Virus hört. Da hilft auch kein "Das Teil ist eigentlich nur heisse Luft" als Statement - schlimmer ist die Tatsache, dass der Ansatz des Viruses für schädliche Zwecke missbraucht werden kann.

Grade mal eine Handvoll Downloads hat das Monitortool gehabt und diejenigen die eh kein Delphi besitzen braucht es eigentlich auch nicht zu stören.

 

Peter

[Tjod]

Die meisten Nutzer haben doch sowieso keine Ahnung und schieben automatisch Panik sobald man das Schlagwort Virus hört.

1. Ich würde sagen wer in der Lage ist den Recording Service einzurichten versteht auch eine vernünftige Erklärung. So wie das andere gemacht haben:

http://groups.google.com/group/tidyfavorit...e0f0465e5?hl=en

 

2. Zweiten werden alle die einen Virenscanner nutzen so wie so drauf gestoßen. Da ist der versuch das unter den Teppich zu kehren von vornherein zum scheitern verurteilt (was ich auch sonst immer für die mit Abstand schlechteste Idee halte).

 

Und wenn der Virenscanner bei jemanden sich melden sollte der nicht so viel ahnung hat ist es noch schlechter wenn es keine neue Versionsnummer gibt und man sagen kann die ist Viren frei. Wie willst du jemand der nicht mal eine beschreiben zur Gefährlichkeit versteht erklären das es davon abhängt wann er das Setup heruntergeladen hat?

 

 

Grade mal eine Handvoll Downloads hat das Monitortool gehabt und diejenigen die eh kein Delphi besitzen braucht es eigentlich auch nicht zu stören.

Das stimmt aber nur solange auf dem Rechner kein Virenscanner Installiert ist. Der sorgt sonst über kurz oder lang dafür das der Recording Service nicht mehr läuft und keine Aufnahmen mach. Ein erfahrener Nutzer kann das sich schnell lösen und findet auch ein verstecktes Topic. Aber der DAU um den du dir so viele Gedanken machst ist spätestens dann ohne weitere Information aufgeschmissen.

 

Irgendwie Fehlt deiner Argumentation komplett die Logik.

 

PS: Als einfacher Nutzer würde ich ab jetzt bei bei jedem Fehlalarm vom Virenscanner erstmal davon ausgehen das in den Sachen aus dem Mitgliederbereich ein Virus ist. ein Virus ist. Da man sich ja nicht sicher sein kann das wenn das wirklich mal der Fall ist darauf hingewiesen wird.

Im Gegenteil der Virus wird entfernt und dann wird von Offizieller stelle auf die Konkrete Frage behauptet "Service ist nicht betroffen".

Vertrauenerweckend ist das verhalten nicht oder ist hier jemand andere Meinung?

(erinnert fast an SquirrelMail und das Passwort Modul)

[DeJe]

Und was soll deiner Meinung nach geschrieben werden ? Die meisten Nutzer haben doch sowieso keine Ahnung und schieben automatisch Panik sobald man das Schlagwort Virus hört. Da hilft auch kein "Das Teil ist eigentlich nur heisse Luft" als Statement - schlimmer ist die Tatsache, dass der Ansatz des Viruses für schädliche Zwecke missbraucht werden kann.

Ziemlich blauäugig.

Obwohl diese Version nur ein prove of concept ist sollte man die Gefährlichkeit nicht runterspielen. Gerade als Entwickler sollte man da mehr Sensibilität zeigen. Ein Exploit ist ein Exploit ist ein Exploit, egal wie gefährlich oder ungefährlich er im Moment ist. Mit Panik hat das Null und Nix zu tun. Eine neue (minor) Versionsnummer darf man eigentlich mindestens erwarten...

Edited August 19, 2009 by DeJe

[ElecardFAN]

Genau das meine ich mit falschen Signal:

1. Es gibt im Mitgliederbereich keine virösen Anwendungen und eine aktuelle Recordingservice- Installation gab es knapp zwei Stunden nachdem die Information auf Heise veröffentlicht wurde. Da wurde auch kein stilles Update geschoben, sondern eine neue Version veröffentlicht.

2. Tjod: Was bitte ist an der Meldung anders als an den Statements die Christian hier im Forum schon geschrieben hat?

3. Auch zu dem Thema das der nächste Exploit eventuell nicht mehr ganz so harmlos ist steht im Forum etwas und für Delphinutzer hat Christian sogar ne Anwendung im Quellcode zum Überwachen des kritischen Pfades mitgeliefert bzw. zusätzlich auch Hinweise gegeben wie man sowas teilweise unterbinden kann.

 

Ähnlich wie Deje wird es vielen ergehen die mal kurz nur im Forum gucken, ohne zu lesen! Tjod sorry bei all deiner Arbeit und der Tatsache dass du nen Moderator bist, dein Sabbel zu dem Thema ist wenig konstruktiv.

 

Peter

Edited August 19, 2009 by ElecardFAN

[DeJe]

Ähnlich wie Deje wird es vielen ergehen die mal kurz nur im Forum gucken, ohne zu lesen!

Mit Verlaub. Die Meldung kam a: von mir und b: war im Mitgliederbereich nicht erkenntlich ob die Version zum Download geändert bzw. bereinigt wurde. Ohne den Hinweis (hier im Fred) das das Download ohne Kommentar und Versionänderung ausgetauscht wurde wäre ich wohl nicht auf die Idee gekommen das Setup neu zu laden. Ich finde es ziemlich frech, dieses fett gedruckte "ohne zu lesen". Es gab nix zu lesen diesbezüglich!

 

Du machst es dir zu einfach... Wo ist das Problem wenigstens einen kurzen kleinen Fred zu öffnen mit einem Hinweis das Setup neu zu laden wegen...

Edited August 19, 2009 by DeJe

[ElecardFAN]

Gute Idee! Am besten Christian plaziert das auf der Hauptseite

 

<ironic>Hey Leute, in die Betaversion vom Service hatte sich nen Exploit eingeschlichen und wir haben den betroffenen Installer keine 2 Stunden nach Bekanntgabe durch die Medien behoben.</ironic>

 

Da die meisten Nutzer nur minimales Verständnis für Softwareentwicklung besitzen gibt es mit Sicherheit etliche Anfragen im Forum, per eMail, oder Telefon.

Dann gibt es ja noch die, ich lade konsequent alles was man downloaden kann, denn da hat sich sicher außer dem einem Angebot ganz bestimmt der Rest auch noch geändert - kost mich ja nix das auch noch zu saugen.

 

Ich erinner da nur an die Probleme mit dem Server nach Versionsrelease 4.0...

 

Irgendwie erinnert mich das an die Geschichten von Dilbert (www.dilbert.com), insbesondere diese hier:

 

 

Peter

Edited August 19, 2009 by ElecardFAN

[Tjod]

Da wurde auch kein stilles Update geschoben, sondern eine neue Version veröffentlicht.

Wo hast du es den gesehen?

Du willst mir doch nicht ernsthaft weiß machen das jeder, am besten mehrfach Täglich im Mitgliederbereich bei allen Downlods nachgucken soll ob das bei Aktualisiert "Heute" steht das mach ja nicht mal ich.

 

Und außerdem woran soll man sehen dass da in der Version ein Virus entfernt wurde?

 

Zusammengenommen also sollte deiner Meinug nach jeder Täglich oder spätestens bei einem wie auch immer gearteten Problem im sehr übersichtlichen Mitgliederbereich (OK das lässt sich ändern) nach gucken was seit seinem letzten Besuch aktualiesiert wurde und alles herunterlade und installieren ohne zu wissen was geändert wurde?

 

Ich halte das für unrealistisch. Und deshalb ist das De facto ein Heimliches Update.

 

2. Tjod: Was bitte ist an der Meldung anders als an den Statements die Christian hier im Forum schon geschrieben hat?

1. Es wurde so gemacht das es jeder sieht.

2. Nicht als Antwort auf eine Meldung eines Nutzers, da gucken meist auch weniger rein (währe hier auch ohne weiteres Möglich gewesen, da die Virusinfektion schon länger vorher bekannt war).

3. Es wird angegeben wie man eine Version ohne Virus bekommt. Das hat Christian mit keinem Wort getan.

4. Es wird gesagt um welchen Virus es sich handelt und auf weitere Informationen dazu verweisen. Das passiert hier in kleinster weise.

Christian schreibt im englischen Topic nur es ist harmlos mach dir keine sorge und hier wo der Virus genannt wird behauptet er der Recording Service sei davon nicht betroffen.

5. Es gibt eine eindeutige neue Versionsnummer.

 

Ich würde sagen das es bei den Meldungen nur eine Gemeinsamkeit gibt. Die aussage das man sich keine sorge machen soll. Aber ohne Hintergrund Informationen ist die aussage genau so viel wert wie die Aussage "Niemand hat die Absicht, eine Mauer zu errichten".

 

3. Auch zu dem Thema das der nächste Exploit eventuell nicht mehr ganz so harmlos ist steht im Forum etwas und für Delphinutzer hat Christian sogar ne Anwendung im Quellcode zum Überwachen des kritischen Pfades mitgeliefert bzw. zusätzlich auch Hinweise gegeben wie man sowas teilweise unterbinden kann.

Das ist ja schön und gut, rechtfertigt aber die restlich Sachen in kleinster weise. Und schon wer nur hier im Topic liest weiß nicht wo er die finden kann.

 

Ähnlich wie Deje wird es vielen ergehen die mal kurz nur im Forum gucken, ohne zu lesen!

Du hast das Topic zumindest einmal aufmerksam gelesen und nachgedacht?

[ ] Ja

[X] Nein

 

Tjod sorry bei all deiner Arbeit und der Tatsache dass du nen Moderator bist, dein Sabbel zu dem Thema ist wenig konstruktiv.

Das Trifft eher auf dich zu. Du stellst nur hole Behauptungen auf und wenn es ein Argument dagegen gibt. Weichst du aufs nächste aus. Bist du zufällig Politiker und Arbeitest im Bundestag? Dazu würde so ein verhalten gut pasen.

 

Nachtrag:

 

Gute Idee! Am besten Christian plaziert das auf der Hauptseite

Scheint er grade gemacht zu haben

http://www.DVBViewer.com/de/index.php?page...cle=win32.induc

 

Eine klare Meldung im Recording Service Changelog währe meiner Meinen nach aber auch OK gewesen.

 

 

Da die meisten Nutzer nur minimales Verständnis für Softwareentwicklung besitzen gibt es mit Sicherheit etliche Anfragen im Forum, per eMail, oder Telefon.

Dann gibt es ja noch die, ich lade konsequent alles was man downloaden kann, denn da hat sich sicher außer dem einem Angebot ganz bestimmt der Rest auch noch geändert - kost mich ja nix das auch noch zu saugen.

Ach und wenn der Virenscanner anschlägt und es keine Informationen dazu gibt sind es weniger? Das glaubst du doch selber nicht.

[ElecardFAN]

Sorry Tjod auf dummes Geflame hab ich keine Lust.

 

Zu meiner Person: Ich bin studierter Handwerker (ja das gibts) und programmiere auch in Delphi. Übrigens möchte ich nicht wissen wie viele Delphientwickler sich diesen Exploit ins Boot geholt haben:

http://delphigl.com/forum/viewtopic.php?t=8622

 

Was bitte ist an den News auf der Hauptseite so besonders? Das wurde in der Art ja schon gestern im Forum geschrieben. Ich bin der Meinung das es nichts bringt da mit riesem Tamtam Staub aufzuwirbeln, zumal ich bezweifle das

die Masse der Nutzer überhaupt den Service nutzt und versteht was ebendieser macht. Aus Erfahrung weiß ich, dass Leute mit solchen Problemen schon bei der Anmeldung in einem Forum überfordert sind und lieber die Telefonnummer im Impressum penetrieren. Alle anderen nutzen die View New Posts Funktion im Forum bzw. Google.

 

Peter

Edited August 19, 2009 by ElecardFAN

[Tjod]

Was bitte ist an den News auf der Hauptseite so besonders?

Nicht hatte es Grade nur gesehen.

 

1) Service nutzt

dann währen sie durch eine Meldung im Service Changelog auch nicht verunsichert worden

[sellisamat]

...ich bezweifle das die Masse der Nutzer überhaupt den Service nutzt und versteht was ebendieser macht. Aus Erfahrung weiß ich, dass Leute mit solchen Problemen schon bei der Anmeldung in einem Forum überfordert sind ...

 

hätte ich diese Zeilen geschrieben, würde ich mich eindeutig als ein riesengroßer, überheblicher Idiot fühlen... Ich frage mich nur wie kann man über Menschen urteilen, die man gar nicht kennt???!!!

 

@Tjod was Du bemängelst, hat Hand und Fuss. Ein Virus ist ein Virus, kann jedem mal passieren, schön wenn man dazu offen steht...wäre die ganze Diskussion nicht zustandegekommen.

 

MfG Thomas

[trudeh]

Ich muss Tjod recht geben.

Ich hätte zumindest erwartet, dass es im Bereich Ankündigungen und Neuigkeiten einen Hinweis auf die "Bedrohung" gegeben hätte.

Ausserdem gehört es sich nicht, eine Virenbefreite Version mit der selben Versionsnummer Online zu stellen. Das führt nur zu Verwirrungen.

So gern ich den DVBViewer und den Recording Service mag, aber vom "Unter'm Tisch kehren" bin ich sehr enttäuscht, obwohl ich keine Delphi Entwicklungsumgebung installiert habe.

Es ist einfach eine Prinzip Sache. Es gab mit dem RS eine leichte Bedrohung für einige wenige Benutzer, aber die sollten wenigstens darauf Aufmerksam gemacht werden um ggf. reagieren zu können.

[Hellrazor_from_Hell]

Hallo

 

Einleitung:

Ich wache heute auf, will DVBViewer starten und bekomme keine Verbindung zum Service. Starte Remotedesktop und sehe das Tray-Symbol ist grau. Klicke auf Start Service, nichts passiert. Ich starte Windows Ereignisanzeige und sehe sofort Fehler vom Service Control Manager. Ich öffne den Eintrag und da steht "Der Dienst Recording Service...konnte die Datei nicht finden". Mir fällt ein, dass ich alle 2 Wochen Sonntags einen Systemscan mit Antivir laufen lassen. Ich starte Antivir und sehe dort in den Ereignissen den Fund W32/Induc.A.

 

In diesem Moment denke ich noch, es kann nicht sein. Dann durchsuche ich das Forum gezielt nach Meldung darüber. Finde dieses Thema und bin entsetzt!

 

Meinung:

Möchte diesen Post nutzen, um meine aktuelle Einstellung dem DVBViewer-Team und "Beta-Testen" kund zu tun.

Nach dem lesen dieses Themas lege keinerlei Wert auf einrn Kommentar seitens ElecardFAN. Danke.

 

Ich bin sehr ungehalten darüber, dass ich in keinster Weise informiert wurde, dass eine gewisse Zeit lang eine infizierte Version zum Download stand.

Besonders es ärgert mich dabei, dass ich am gleiche Tag als die Meldung bei Heise.de erschien (Virus infiziert Entwicklungsumgebung noch eine PM an Lars gesendet habe und er mir bestätigte, dass die Bedrohung bekannt sei. Mit dem Wissen welches ich jetzt habe, wirkt seine damalige Antwort schon fast arrogant.

Die Tatsache, dass ich erst durch meinen geplanten Scan von der Infektion erfahre scheint mir Beweis genug dafür, dass die Informationspolitik nicht nur schlecht, sondern skadalös ist. Mir kommt sofort das Wort Vertuschung in den Sinn.

Das Dementi hier im Thema und auf der Homepage setzt dem Ganzen noch die Krone auf.

Tjod hat eigentlich schon mehrfach alle Punkte gesagt, wie man sowas richtig oder einfach besser handhaben sollte, deswegen wiederhole ich sie nicht noch einmal.

Ich war eigentlich der Meinung dieses Projekt (RecService) würde in Zusammenarbeit mit der Community weiterentwickelt. Auch weil die Funktionalität ziemlich einzigartig am Markt ist, habe ich versucht innerhalb meiner Möglichkeiten bei der Verbesserung zu helfen.

Ich will noch mal betonen, es ist nicht die Tatsache der Infektion, sondern die Art und Weise der Aufklärung bzw. nicht Aufklärung die mich ärgert.

 

Konsequenzen:

Ich werde keine weiteren Beta-Versionen des RecService und oder DVBViewer testen um eventuell Fehler hier zur Posten.

Sollte es bei den aktuellen Statements seitens der Entwickler bleiben, war das mein letzter Post in diesem Forum.

 

 

Mit entäuschtem Gruß

Hellrazor

 

PS: Wollte meinen Ärger raus lassen, erwarte keine Antwort....

[MB_Blaster]

HI

 

Da muss ich Hellrazor_from_Hell voll und ganz zustimmen!

Das sich ein virus einschleicht kann passieren! doch sollte mann wenigsten darüber ordentlich informiert werden!

Ich werfe nur ein bis 2mal in der woche einen kurzen blick in den members bereich und dort ist bis heute darüber nichts zu erkennen gewesen!

 

MFG

MB_Blaster

Edited August 31, 2009 by MB_Blaster

[GBWebmaster]

Ich denke auch, hier wurde ein Fehler gemacht. Aber Fehler sind nun einmal da, um gemacht zu werden und wir sollten nun nicht alle päpstlicher als der Papst sein.

 

Dieser Fehler sollte nun jedoch Anlass sein, die Informationspolitik zu verbessern. Und verbessern heißt für mich, schnellstmöglichst eine neue Setup-Datei mit geänderter Versionsnummer zu veröffentlichen.

 

Gruß

GBWebmaster