Unlocker und Exact Audio Copy enthalten ein Trojanisches Pferd
Michael Landenberger
das sicher nicht ungebr�uchliche Tool Unlocker
(<http://ccollomb.free.fr/unlocker/>), mit dem man eine durch eine
Anwendung blockierte Datei entsperren kann, enth�lt lt. Microsoft
Security Essentials ein Trojanisches Pferd. Die Installationsdatei
(unlocker1.8.7.exe) enth�lt ihrerseits ein Setup-Programm namens
eBay_shortcuts_1016_Unlocker.exe, in welchem die MSSE den Sch�dling
ebayShortcuts.exe gefunden haben. Der Sch�dling wird als
TrojanClicker:Win32/Yabector.A bezeichnet. N�here Infos dazu gibt es
hier:
<http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=TrojanClicker%3aWin32%2fYabector.A&threatid=2147628412>.
Die beanstandete Datei ist tats�chlich im Setup-Paket f�r Unlocker
enthalten.
Den Sch�dling stuft Microsoft als Ad-/Spyware ein. Er nimmt ohne Wissen
des Benutzers Kontakt zum Server adon-media.de auf und �bermittelt
Informationen dorthin. Weitere Schadfunktionen nennt Microsoft nicht.
Lt. Microsoft soll das Trojanische Pferd auch in der Freeware Exact
Audio Copy enthalten sein. Eine �berpr�fung des von
<http://www.exactaudiocopy.de/en/index.php/resources/download/>
heruntergeladenen Setup-Programms (eac-0.99pb5.exe) best�tigte dies.
Eigenartigerweise bieten sogar seri�se Sites wie heise.de Unlocker und
Exact Audio Copy zum Download an, ohne auf das enthaltene zweifelhafte
Programm hinzuweisen. Offenbar hat sich das noch nicht so
herumgesprochen. Von einem Fehlalarm gehe ich in diesem Fall nicht aus,
denn was hat eine ausf�hrbare Datei mit Namen "ebayShortcuts.exe" in
einer Software verloren, die rein gar nichts mit ebay zu tun hat?
M�glicherweise steckt das Trojanische Pferd in den Setup-Routinen, die
die Anbieter der beiden Programme verwenden, und gelangt sogar ohne
deren Wissen in das Installationsprogramm.
Gru�
Michael
Michael Paul
On 15 Okt., 15:12, "Michael Landenberger" <spameimer052...@arcor.de>
wrote:
> denn was hat eine ausführbare Datei mit Namen "ebayShortcuts.exe" in
> einer Software verloren, die rein gar nichts mit ebay zu tun hat?
Weil der Programmautor das so gewollt hat.
"Further I have included a desktop and quick launch bar icon in the
installer which link to eBay. As the advertisements on the homepage
dropped by a great amount over the last year, I decided to try to go
this way. I hope that you can understand my decision! Anyway, the
icons are created only on the installation of EAC and their
installation can be easily prevented by deselecting the eBay component
within the EAC installer. The EAC application itself is still
completely free from advertisement or spyware (and will be)!
I hope that you will like the new version nevertheless!"
<http://www.exactaudiocopy.de/en/index.php/resources/whats-new/whats-
new/> Eintrag vom 31.01.2008
> Möglicherweise steckt das Trojanische Pferd in den Setup-Routinen,
Ja.
> die Anbieter der beiden Programme verwenden, und gelangt sogar ohne
> deren Wissen in das Installationsprogramm.
Nein.
Gruß,
Michael
Gabriele Neukam
On this special day, Michael Landenberger wrote:
> enthï¿œlt lt. Microsoft Security Essentials ein Trojanisches Pferd.
Ansichtssache. Per Google erhalte ich folgendes Ergebnis:
"Why does NOD32 detect the installer (eac-0.99pb5.exe;
MD5:b20c5add30b64f09fffacf010c4d3f15) of the latest version of 'Exact
Audio Copy' (V0.99 prebeta 5) as a variant of Win32/Adware.ADON?"
"The package contains the file ebayshortcuts.exe which is currently
classified as adware but actually has a more trojan-like behavior as it
doesn't inform the user about redirection to ebay through a 3rd party
site."
Fï¿œr nicht des Englischen Mï¿œchtige: Der Installer hat als Beigabe ein
"eBay-Tool" zugepackt bekommen mit dem eine dritte Partei sich als
Vermittler zu eBay einschalten will. Das ist erst mal nur Werbung, aber
von der eher unangenehmen Sorte.
Wenn man Custom Install wï¿œhlen kann (also sich aussuchen was
installiert werden soll und was nicht) sollte sich dieses "Tool"
vermeiden lassen, und EAC selbst wï¿œre dann trojanerfrei und
ungefï¿œhrlich fï¿œr das System.
Gabriele Neukam
--
> Is there such a thing as a Honeymoon period in a new newsgroup?
(Roger Hunt in uk.comp.vintage)
In a want it now instantly straight away world - no :-)
(Krustov in ucv)
Michael Landenberger
> On 15 Okt., 15:12, "Michael Landenberger" wrote:
>> M�glicherweise steckt das Trojanische Pferd in den
>> Setup-Routinen,
> Ja.
>> die Anbieter der beiden Programme verwenden, und gelangt
>> sogar ohne deren Wissen in das Installationsprogramm.
> Nein.
Ok, der Eintrag auf der Seite des EAC-Programmierers beweist, dass er
das Ebay-Programm tats�chlich wissentlich in sein Setup-Paket
aufgenommen hat. Der Beitrag enth�lt aber keinen Hinweis darauf, dass
der Programmierer wei�, um welche Art Programm es sich dabei handelt.
Er spricht lediglich von einem "desktop and quick launch bar icon",
keineswegs davon, dass dieses "Icon" eigentlich ein Programm ist,
welches u. U. vom Benutzer unerw�nschte Aktionen ausf�hrt. Vielleicht
ist ihm dieser Umstand ja bekannt, aber er schweigt sich geflissentlich
dar�ber aus.
Auch der Programmierer von Unlocker gibt in seinem Changelog zur
Version 1.8.7 auf <http://ccollomb.free.fr/unlocker/> zwar zu, dass er
ein "Ebay-Shortcut" eingebaut hat, verschweigt aber dessen wahre
Funktion. Auf seiner Website hei�t es lapidar: "Promotional feature:
Added fully optional shortcuts to eBay during the installation. Simply
untick "eBay shortcuts" in the choose components page during install if
you do not wish to have those."
Immerhin geben beide Programmierer Hinweise, wie man die Installation
der Shortcuts vermeidet. Trotzdem k�nnte es sein, dass die beiden
Programme im gleichen Ma� an Beliebtheit verlieren, wie die Microsoft
Security Essentials an Verbreitung gewinnen, denn die MSSE meckern
schon unmittelbar nach dem Download und verhindern au�erdem, dass der
Benutzer das Setup einfach so starten kann.
Gru�
Michael
Carsten Krueger
> Der Beitrag enth�lt aber keinen Hinweis darauf, dass
> der Programmierer wei�, um welche Art Programm es sich dabei handelt.
Nat�rlich wei� er das.
> Er spricht lediglich von einem "desktop and quick launch bar icon",
> keineswegs davon, dass dieses "Icon" eigentlich ein Programm ist,
ROTFL, das versteht sich von selbst.
> welches u. U. vom Benutzer unerw�nschte Aktionen ausf�hrt.
Nein
Es tut das versprochene (ebay �ffnen) und z�hlt dabei wie oft die Werbung
funktioniert:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanClicker%3aWin32%2fYabector.gen
Gru� Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://www.temporaryinbox.com/ - Antispam
cakruege (at) gmail (dot) com | http://www.geocities.com/mungfaq/
Michael Landenberger
> Am Thu, 15 Oct 2009 18:03:19 +0200 schrieb Michael Landenberger:
>> Er spricht lediglich von einem "desktop and quick launch bar
>> icon", keineswegs davon, dass dieses "Icon" eigentlich ein
>> Programm ist, welches u. U. vom Benutzer unerw�nschte Aktionen
>> ausf�hrt.
>
> Nein
>
> Es tut das versprochene (ebay �ffnen)
Das ist das, was der Benutzer noch erwartet. Diese Aufgabe k�nnte aber
auch eine schlichte Verkn�pfung mit www.ebay.com erledigen, dazu
braucht man keine .exe-Datei. Aber f�r das blo�e Anlegen einer
Verkn�pfung zur ebay-Seite bekommt der Programmautor nat�rlich kein
Geld, sondern nur f�r das Verbreiten von Adware.
> und z�hlt dabei wie oft die Werbung funktioniert:
Und genau das erwartet der Benutzer nicht. Es wird ihm auch nicht
mitgeteilt. Da ich aber vermute, dass die Microsoft Security Essentials
nach und nach an Verbreitung gewinnen werden und diese wegen der Adware
die Installation von Unlocker und Exact Audio Copy blockieren, wird der
Spuk wohl bald ein Ende haben.
> [Link zum Microsoft-Malware-Lexikon]
Sch�n, dass uns nochmal mit dem Link begl�ckst, den ich bereits im OP
genannt habe ;-)
Gru�
Michael
Carsten Krueger
> Das ist das, was der Benutzer noch erwartet. Diese Aufgabe k�nnte aber
> auch eine schlichte Verkn�pfung mit www.ebay.com erledigen, dazu
> braucht man keine .exe-Datei. Aber f�r das blo�e Anlegen einer
> Verkn�pfung zur ebay-Seite bekommt der Programmautor nat�rlich kein
> Geld, sondern nur f�r das Verbreiten von Adware.
Eben und deshalb erwartet der Benutzer der das installiert ebenfalls nicht,
da� nur eine Verkn�pfung angelegt wird.
> Sch�n, dass uns nochmal mit dem Link begl�ckst, den ich bereits im OP
> genannt habe ;-)
War da mit Googlen drauf gekommen, hatte deinen nicht gelesen :-)
Michael Landenberger
> Wenn man Custom Install wï¿œhlen kann (also sich
> aussuchen was installiert werden soll und was nicht)
> sollte sich dieses "Tool" vermeiden lassen, und EAC
> selbst wï¿œre dann trojanerfrei und ungefï¿œhrlich fï¿œr
> das System.
Das weiᅵt du und das weiᅵ ich. Otto Normaluser weiᅵ das jedoch nicht
und wird, durch die Warnung seines Virenscanners verunsichert, davon
absehen, das Setup ï¿œberhaupt zu starten (beispielsweise meckern die
Microsoft Security Essentials bereits beim Starten des EAC- bzw.
Unlocker-Setups, nicht erst dann, wenn es darum geht, die ebay
Shortcuts zu installieren). Somit kommt Otto Normaluser erst gar nicht
zu dem Punkt, wo er die "ebayShortcuts" abwï¿œhlen und sich nur fï¿œr das
Hauptprogramm entscheiden kann. Und wenn sich entsprechende Meldungen
verunsicherter Anwender bei den Programmautoren hï¿œufen, werden sie
vielleicht mit dem Nachdenken anfangen und den Quatsch wieder aus ihrer
Software entfernen. Es sei denn, es ist ihnen wurscht, ob ihre
Programme von vielen oder nur von wenigen Anwendern eingesetzt werden.
Natï¿œrlich ist auch das nicht ausgeschlossen, denn bei einem kostenlosen
Programm kann es dem Entwickler ja egal sein, wie oft er es unters Volk
bringt.
Gruᅵ
Michael