Virus in Polaris_CustomRUU.exe in M-Amine-ROM

[muggel]

Hallo.

Möchte ja keinem den Spaß bremsen, aber im M-Amine-ROM welches ich gestern via hier bzw. bei XDA-Developers angegebenen Rapid-Share-Link heruntergeladen habe, ist die Datei Polaris_CustomRUU.exe mit einem Virus, bzw. einer Malware verseucht.
Da ich meinem Virenscanner nicht immer alles glaube, habe ich noch einige Upload-Scanns bei verschiedenen Virensoftware-Anbietern laufen lassen und alle kamen leider zu dem gleichen Ergebnis: Polaris_CustomRUU.exe ist verseucht.

Viele Grüße
muggel
 

[caesium]

Ja, das ist glaube ich normal, weil das Programm halt schon gewisse Hintertüren aufmachen muss, um das Flashen überhaupt zu ermöglichen.

Guck dich mal bitte bei den Dev´s um, da wird schon etwas dazu stehen.

[Uncle_CM]

Ist es ein Virus oder ein "heuristischer Fund"?

Virus ist nicht immer gleich Virus ... Da man ja immer Virendefinition (Updates) runterladen muss, sind Computer zwischenzeitlich angreifbar und hierfür gibt es die heuristische Analyse ... Hierbar wird der Code auf Schadcode überprüft (wie zB festplatten formatieren oder Verbindungen in Intra/Internet aufbaut) oder auf Fehler in der Signatur einer "Exe Datei" (Damit sich ein Virus sozusagen nicht selbstinfiziert, bzw Dateien nicht doppelt infiziert). Das Update Util baut ja eine AS/USB Verbindung zu einem Handheld auf und kann so unter Umständen als mögliche Bedrohung angesehen werden ...

Die Portable Apps wurden in der Anfangs Zeit bei mir auch als Virus erkannt, weil die Programme modifiziert wurden, damit sie auf dem USB Stick bleiben und nicht in das System schreiben.

genauere Infos gibts hier: http://www.f-secure.com/v-descs/heuristic.shtml

[muggel]

Hi nochmal.

Es ist ein Signaturfund und nicht ein heuristischer.
Wie bereits erwähnt habe ich auch mehrere Online-Scanner laufen lassen und alle melden einen Befall.
Auf andere ROMs und Flash-Tools hingegen haben keine Virenscanner angeschlagen.


@caesium und Uncle_CM:
Pauschale Mutmaßungen sind in solchen Sachen etwas unangebracht - ladet Euch die Datei aktuell nochmal runter, prüft sie und schreibt dann was dazu.
Ideal wäre, wenn ihr noch eine ältere "Polaris_CustomRUU.exe" hättet und deren Signatur mit der aktuellen vergleicht.


@alle anderen Leser:
Bedenkt, dass die Quellen der ROMs zumeist auf rapidshare oder evtl. auch "chinesischen Servern" liegen und dass man da freilich auch schon mal was anderes bekommen kann als man glaubt herunterzuladen.

Viele Grüße
muggel

[DaGrind]

Wenn es doch ein Signaturfund war, wieso sagst du uns dann nicht einfach, welcher Signatur er entspricht ?? Es gibt ja auch mehr als ein ANIME-Rom aktuell dort - woher sollen wir wissen, welchen Link du genau meinst ?

Und von einer Quelle kann man nun wirklich nicht auf die Qualität des Inhaltes schließen. Mal offensichtliche Links der Domänen der Rombuilder ausgenommen (und selbst die könnten eine infizierte Datei in das Archiv packen und hochladen).

[muggel]

Virus/Spyware 'Mal/Generic-A'

Den Link kann ich hier ja schlecht posten - oder?
Aber es ist in dem Thread http://forum.xda-developers.com/showthread.php?t=430745 die Datei die im obersten posting von M-Amine unterhalb von "FINAL" als GER verlinkt ist. (Hab auch mal die französiche probiert, hat auch angeschlagen)

[caesium]

So ich teste das ganze mal.

Avira AntiVir findet nichts, braucht allerdings auch nur 6 Sekunden um das Archiv zu durchsuchen.

[muggel]

Lade Polaris_CustomRUU.exe mal zb da in den file-sanner hoch: http://www.kaspersky.com/de/virusscanner oder auch da: http://www.virustotal.com/de/

[Uncle_CM]

Wie ich es mir gedacht habe ... also doch ein heuristischer Fund ...
Ich habe den Onlinescan auch mal benutzt und dort finden nur 80% der Virenscanner einen Virus und die anderen sind sich nich einig was es für einer ist und nennen es einfach generic (in mehreren Variationen). Dazu kommt noch dass sie nich mal wissen ob es jetz n Virus ist oder ein Trojaner ...

Ich ahbe die Datei auch mal bei mir lokal scannen lassen mit ClamAV und der spuckt mir ein fröhliches "Trojan.Spy.Banker-6239" entgegen.

Kurz mal das "Trojan.Spy.Banker-6239" in Yahoo eingetragen und man findet einen xda dev thread über gullum ROMs mit folgendem Hinweis voin gullum persönlich:

this is a false posetive ... the Polaris_CustomRUU.exe is writhen and behaves in a similar way that some Trojan do so some AV programs see it as a Trojan.
http://forum.xda-developers.com/showthread.php?p=3104605

Ich stimme dir zu muggel dass man nicht leichtfertig Sachen runterläd und leichtsinnig ausführt. Ich lade Daten prinzipiell nur über Linux runter und jage sie durch den Virescanner bevor ich sie in Windows öffne.
Aber selbst wenn der Virenscanner ausschlagen sollte, muss es sich nich unbedingt um einen Virus handeln ...

Man kann die Sensivität der heuristischen Suche auch einstellen/bzw "kalibrieren" so dass zB auch AntiVir einen Virus finden würde. Deswegen gibt es Virenscanner die da etwas toleranter sind und einige die schlagen schon bei dem kleinsten Verdacht Alarm (zB bei den Portable Apps)

[DevilGT]

Habe gestern auch die erfahrung gemacht.
Aber ich lebe lieber mit einer Warnung zu viel, also zu wenig. Gut das ihr euch mit dem Thema schon beschäftigt hattet. Immer hin war somit der erste google link für mich ein Erfolg bei der suche nach "Trojan.Spy.Banker-6239".

ps: mit ClamAV von PortableApps

Gruß
Jan