Mathias Schäfer (molily): Kein Wurm in SELFHTML

Kaspersky Anti-Virus meldet fälschlicherweise den Wurm Feebs in der SELFHTML-Dokumentation

Wir erhalten von mehreren Anwendern des Anti-Virus-Programmes Kaspersky besorgte Berichte darüber, dass sich im Download-Archiv der SELFHTML-Dokumentation der Wurm Feebs befinden soll. Genauer gesagt soll die Datei /javascript/objekte/anzeige/string_substring.htm vom Worm.Win32.Feebs.em befallen sein.

Screenshot der Wurm-Meldung von Kaspersky (Dank an Andreas Huettner)

Nach unserem jetzigen Kenntnisstand können wir sagen: SELFHTML enthält keinen Wurm, es handelt sich um einen Fehler im Anti-Virus-Programm von Kaspersky.

Trotzdem werden wir alle Download-Mirrors akribisch überprüfen. Nachtrag: Alle Mirrors sind sauber.

Nachtrag, 2006-04-08: Kaspersky hat auf unsere Mails reagiert, mit dem Signaturen-Update von heute Morgen meldet Kaspersky keinen Wurm mehr in SELFHTML. Danke an Kaspersky für die schnelle Reaktion! Wir bitten alle Kaspersky-Anwender, die Virensignaturen zu aktualisieren.

Schauen wir uns die Online-Version der Datei an, so sehen wir, wie harmlos sie ist:

http://de.selfhtml.org/javascript/objekte/anzeige/string_substring.htm

&l

lt;!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html><head> <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1"> <title>Test</title></head><body> <script type="text/javascript"> var Begriff = "Donaudampfschifffahrt"; var Teil = Begriff.substring(5, 16); alert(Teil); </script> <p><a href="../string.htm#substring">zurück</a></p> </body> </html>
  1. In der Tat, die Sache ist an sich harmlos.

    Was etwas verwirrt ist folgendes:

    Wenn man im Firefox die Extension InfoRSS benutzt und diese so konfiguriert, dass nicht nur die Headline dieses Artikels, sondern des gesamten Textes geholt wird, führt dieses dazu, dass wann immer sich InfoRSS diesen Artikel holt plötzlich mehr oder weniger unvermittelt auf dem Bildschirm ein Alert mit dem Text "Dampfschiff" aufpoppt. Und das passiert je nach Konfiguration mehrmals am Tag.

    P.R.

  2. Peter,

    Dann hat InfoRSS wohl eine große Sicherheitslücke, offenbar fehltinterpretiert er HTML-Code anstatt ihn als Quelltext darzustellen und interpretiert auch den Script-Code darin. Du kannst aber mal den Atom-Feed abonnieren, in Atom ist im Gegensatz zu RSS festgelegt, wie mit dem Content umgegangen wird. Unsere Feeds sind, soweit ich das beurteilen kann, in dieser Hinsicht jedenfalls fehlerfrei und ein nicht gänzlich verdrehter Feedreader sollte den Quelltext auch als solchen darstellen und nicht das Script ausführen.

  3. F-Secure zeigte vor einer Woche oder zwei auch diesen Virus an. Mit den neuesten Updates (Stand heute), jedoch nicht mehr. Gruß Jan Erik Sigdell 14.4.2006

  4. Zitat: SELFHTML enthält keinen Wurm, es handelt sich um einen Fehler im Anti-Virus-Programm von Kaspersky.

    Hallo,

    merkwürdigerweise benutze ich nicht Kaspersky und registriere trotzdem mit meinem Antivirenprogramm ebenfalls den Wurm Feebs.em. Ihn konnte ich in der /javascript/objekte/anzeige/string_substring.htm sowie in der ZIP-Datei finden.

    Aber jetzt kommt das Rätselhafteste:

    Die Selfhtml Dokumentation hatte ich schon letztes Jahr heruntergeladen. Entweder lag der Wurm seit dem bei mir versteckt auf dem Rechner in den besagten Dateien, oder der Wurm befällt ausschließlich die Selfhtml-Dateien.

    Nie hatte mein Antivirenprogramm angeschlagen, bis auf heute. Sofort einen systemweiten Scan durchgeführt und Wurm gelöscht. Daraufhin ging ich ins Internet, um mich über Feebs zu informieren. Da gelangte ich über Google auf diese Seite. An dem Nachrichtendatum erkenne ich, dass es ein aktuelles Thema ist.

    Diese Geschehnisse passen somit nicht zu dem oben genannten Kommentar. Aus Gründen der Sicherheit sollte das Thema noch einmal weiter untersucht werden, damit nicht weitere Rechner Schaden nehmen können.

    - Mein Antivirenprogramm ist Ewido anti-malware.

    - Auf den Wurm wurde ich nur aufmerksam, als sich mein Rechner mehrmals unkontrolliert ausschaltete.

  5. Thomas, heißt das, die Datei war tatsächlich mit dem genannten Wurm infiziert? Hast du das selbst geprüft oder handelt es sich »nur« um die Meldung deines Scanners? Ich bezweifle, dass ein Mirror-Anbieter einen infektiösen Download anbietet, werde der Sache aber nachgehen.

    Meines Erachtens ist der Sachverhalt wie folgt: Eine neue Variante von Feebs, die der SELFHTML-Datei ähnliche Code-Elemente enthält hat einige Antivirensoftware-Hersteller dazu veranlasst, die Heuristik zu modifizieren, sodass nun Alarm geschlagen wird. Eine Meldung bedeutet nicht zwangsweise, dass eine Infektion vorliegt, sondern nur, dass eine vermutet wird. Eine Entschärfung der Heuristik-Engine zeigt offensichtlich Erfolg.

  6. Hi Roland,

    es handelte sich soweit nur um eine Warnmeldung, dass der Wurm Feebs in den Dateien gefunden wurde. Aus Sicherheitsgründen wird aber bei uns jede Meldung ernst genommen und es wird eine Löschung der detektierten Datei veranlasst.

    Offenbar ist dieser Fall identisch mit denen von anderen Benutzern.

    Die Zip-Datei wurde schon vor mehreren Monaten heruntergeladen. Jeder Download wird standardgemäß vor dem Öffnen überprüft. Damals konnte nichts festgestellt werden. Auch im Laufe mehrerer systemweiten Scans gab es keine Warnungen. Letztlich gestern schlug der Virenscanner aus. Daher tippe ich mal auf eine Fehlinterpretation des Programmes (der Virenkartei).

    Feebs ist nach Recherche im Internet ein E-Mailwurm, welcher sich an eine Mail ohne Anhang heften kann und beim öffnen der Mail sich Feebs aktiviert. Dabei verfügt er über eine Tarnung, welche es ihm erlaubt, unentdeckt auf dem System zu bleiben.

    Wenn es doch Feebs war, dann gibt es demzufolge aber keine Verbindung mit der downloadbaren Zip-Datei der HTML-Dokumentation. Das ausschließlich die Selfhtml Dateien befallen werden, ist somit undenkbar.

    Gruß Thomas

  7. Hm, also dass diese HTML-Datei harmlos ist, ist doch offensichtlich. Wenn irgendein "Wurm" sie "befallen" haben sollte, ist das (ebenso) offensichtlich nicht die Schuld von SELFHTML, sondern viel mehr die von den Benutzern des Betriebssystems, das den "Wurm" genau das machen lässt, wozu er da ist: Schädigen.

    Ich persönlich benutze auf keinem meiner Windows-Rechner ein Antivirenprogramm und lebe ganz glücklich damit. Mit einem "richtigen" Betriebssystem lebt man natürlich noch viel glücklicher -- aber wir wollen hier ja nicht mit Trollpostings anfangen :-)

    Grüße, Sven

  8. Hallo,

    genau wie Thomas ist meine Datei schon länger auf meinem Rechner gewesen und am 08.04.2006 meldete sich plötzlich mein Virenscanner (G-Data AVK 2005) zu wort.

    Virenprüfung mit AntiVirenKit Version 15.0.5 Virensignaturen vom 07.04.2006 Startzeit: 08.04.2006 14:59 Engine(s): KAV-Engine (AVK 16.6652), BD-Engine (BD 16.3270) Heuristik: Ein Archive: Ein Systembereiche: Ein

    Prüfung der Systembereiche... Prüfung aller lokalen Festplatten... Objekt: selfhtml81/javascript/objekte/anzeige string_substring.htm In Archiv: C:\Dokumente und Einstellungen\Markus\Eigene Dateien\selfhtml81.zip Status: Virus gefunden Virus: Worm.Win32.Feebs.em (KAV-Engine) Objekt: selfhtml81.zip Pfad: C:\Dokumente und Einstellungen\Markus\Eigene Dateien Status: Datei in Quarantäne verschoben Virus: Worm.Win32.Feebs.em (KAV-Engine)