XAMP-WIN32DEVEL-1.5.3.ZIP & padodor.W backdoor

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

XAMP-WIN32DEVEL-1.5.3.ZIP & padodor.W backdoor

Postby windowsbot4711 » 11. September 2006 11:41

Hallo,
vielleicht ist auch schon jemand darueber gestolpert:

Beim herunterladen von XAMP-WIN32DEVEL-1.5.3.ZIP hat mein virenscanner
angeschlagen und eine 'infizierte Datei'

openssl/out32dll/sha256t.exe

im o.g. Archiv angemeckert. Die MD5 Summe des downgeloadeten Archivs stimmt mit der offiziell hinterlegten ueberein.

Soll das so sein oder sollte ich das Archiv verwerfen ? Wie sollte ich verfahren ?

Virus-info findet sich unter:
http://www.f-secure.com/v-descs/padodorw.shtml

Gruss
windowsbot4711
 
Posts: 2
Joined: 11. September 2006 11:31

Postby deepsurfer » 11. September 2006 11:50

AntiVir findet nix

AVG bestätigt Virenfund.

Da es sich um eine Datei Handelt die den connect zwischen SSL anweisungen steuert, so gehe ich mal von aus das der AVG deshalb anschägt weil innerhalb dieser Exe halt die Befehlsfolgen einem Trojaner gleichen.


Auf openssl.org hab ich keinen Hinweis aus die schnelle gefunden.
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby windowsbot4711 » 13. September 2006 17:34

Das der Virenscanner anschlaegt scheint wirklich nur daran zu liegen, dass irgendwelche signaturen anschlagen. Das Problem ist offensichlich bekannt:

http://www.mail-archive.com/openssl-use ... 43471.html

Da nach den Angaben v. F-Secure Padodor.W eine Dateigroesse von ca. 51k haben soll , halte ich es fuer unwahrscheinllich, dass in sha256t.exe (ca. 6k) ein virus versteckt ist.

Weiterhin habe ich beim hexdump-Vergleich mit anderen Versionen von sha256t.exe aus anderen Windows-openssl paketen (die allesammt nicht beim virenscanner anschlagen) bemerkt, dass Groesse und Aufbau soweit der verdaechtigen Datei aehneln. Auch ein moegliches Indiz f. eine Fehl-Detection d. Scanners ...

Ist vielleich nicht so recht die exakte Vorgehensweise, aber die Virendetection von F-Secure hat sich mir bisher nicht erschlossen um etwas konkreteres sagen zu koennen ....

Gruss
D.
windowsbot4711
 
Posts: 2
Joined: 11. September 2006 11:31


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 43 guests