HTML Virus ?

[Jim]

hi,
meinem PHP-BBS "Reader" meldet mir seit einigen Tagen ein blockierte Bedrohung :
Trojan:Win32/BatTamper.A
der soll sich im HTML File befinden was mein PHP-BBS "Reader" bei lesen im Deskmodder Forum erzeugt.

Deskmodder_Virus.JPG

da die Datei vom Defender immer gleich gelöscht wird kann ich mir die nicht ansehen um näher Informationen zu bekommen.

ich verwende dazu Harbour / HMG und nutze ActiveX / OLE

Code: Alles auswählen

LOCAL oHttp     := Win_OleCreateObject( "MSXML2.ServerXMLHTTP" )

der URL String sieht nun so aus, wobei die Thread Nummer (t= ) hochgezählt wird

Code: Alles auswählen

"https://www.deskmodder.de/phpBB3/viewtopic.php?t=32405"

leider kann ich keine weiteren Informationen liefern was in welchem Thread als Virus identifiziert wird.
ich werde versuchen meine App umzuschreiben damit ich nähere Informationen bekomme.

[Tante Google]

[HAL 9000]

Der Thread ist dieser.
I hope Portable Registrator can be used in association with SetUserFTA on win11!
URL nützt Dir ja nichts.
Einen Trojaner kann ich da nicht erkennen, auch nicht in den anderen Threads, die ich geöffnet habe.

Aber ein versierter Programmierer findet das Problem sicher ganz schnell.

[moinmoin]

Ist aber sehr merkwürdig.
Werden die Daten gelöscht, oder in Quarantäne geschickt?

https://www.deskmodder.de/wiki/index.ph ... herstellen

*edit @Hal, war wohl nur ein Beispiel, da dieser Thread erst von heute ist und es ja schon seit Tagen vorkommt.

[Jim]

hi,

Werden die Daten gelöscht, oder in Quarantäne geschickt?

der Defender stellt die *.HTML unter Quarantäne, sagt der Defender.

habe es eben nochmal probiert. Es ist wohl was in diesen Thread
viewtopic.php?t=32384

Deskmodder_Virus2.JPG

[Jim]

hi,

habe versucht die Datei aus der Quarantäne zu holen und sie zu "verpacken", aber nun hat der Defender sie GELÖSCHT

Deskmodder_Virus3.JPG

ich habe hier den Thread VORHER und NACHHER, wenn das was nützt

Deskmodder.zip

[Gumfuzi]

Nichts zu entdecken:
https://www.virustotal.com/gui/url/49db ... ?nocache=1
auch nicht bei den beiden von dir geposteten HTML-Files...

Evtl. reagiert deine Software auf irgendwas anderes oder eine Browsererweiterung ändert bei dir im Browser den HTML-Code mit Schadcode?

Teste mal mit einem anderen Browser ohne erweiterungen

[Babybaer]

Habe mal die zip Datei auf Handy runtergeladen und auf dem Rechner.
Handy keine Meldung, Defender auch keine Meldung.
Auch keine Meldung von Malware, das zur Info von mir.

[HAL 9000]

Na ja, in dem Thread (bzw. den eingebetteten Code-Zeilen) sind ja einige sehr systemnahe Kommandos enthalten.

Wenn ich die Webseite als html herunterlade und den Defender scannen lasse, sagt es mir auch:

Trojan:Win32/BatTamper.A
17.10.2024 20:23 (Aktiv)
Schwerwiegend

Definitv false positiv

[Jim]

ich habe hier den Thread VORHER und NACHHER, wenn das was nützt
Deskmodder.zip

Habe mal die zip Datei auf Handy runtergeladen und auf dem Rechner.
Handy keine Meldung, Defender auch keine Meldung.
Auch keine Meldung von Malware, das zur Info von mir.

in der ZIP Datei sind der Thread VOR und NACH dem Thread welcher vom Defender blockiert wird.
die ZIP Datei enthält also NICHTS was der Defender an-meckert !

die an-gemeckerte Datei LÖSCHT der Defender immer wieder, so das es mir NICHT gelingt die zu packen um sie hochzuladen.

[Babybaer]

Den Defender mal ausschaltet. Nur wenn du möchtest. Datei nach upload löschen und Defender scannen lassen.

[Gumfuzi]

Na ja, in dem Thread (bzw. den eingebetteten Code-Zeilen) sind ja einige sehr systemnahe Kommandos enthalten.

Wenn ich die Webseite als html herunterlade und den Defender scannen lasse, sagt es mir auch:

Trojan:Win32/BatTamper.A
17.10.2024 20:23 (Aktiv)
Schwerwiegend

Definitv false positiv

war auch mein erster Gedanke - nur dachte ich mir, dass ein Scanner das erkennen sollte, wenn so etwas als "Code" auf einer Seite steht...

[HAL 9000]

Der Thread viewtopic.php?t=32384
enthält Code, den der Defender nicht mag.
Der stammt von g_force und ist mit Sicherheit kein Trojaner, die heuristische Erkennung vom Defender findet da aber Elemente, die der Defender als potentielle Bedrohung ansieht.
Die Dateien im ZIP sind völlig irrelevant.
Das sind nur Threads, die zu dem Zeitpunkt zufällig auch aktuell waren.

Fazit: Viel Lärm um nichts.

[Jim]

hi,

Fazit: Viel Lärm um nichts.

wie wäre es wenn du uns Unwissenden mitteilst, welche Message von g-force genau, der Defender nicht mag.

@moinmoin
auch wenn der CODE kein Virus ist, löst er auf jeden Fall einen Alarm aus.
Ich weiss nicht wie andere Browser darauf reagieren, aber vielleicht sollte man den CODE packen und eine Warnung dazu schreiben für die Unwissenden.

[HAL 9000]

Geht das schon wieder los SATA-Jim?
Ich habe oben den Thread verlinkt, der den Code enthält.
Von einer Message ist an keiner Stelle etwas geschrieben worden.
Aber gut, ich bin raus.
Ich lese hier im Forum und habe keine Probleme, was gehen mich also Deine an.
Hab noch ein schönes Leben!

Auf den anderen Unsinn mag @moinmoin antworten....

[moinmoin]

Das liegt an deinem "Reader", der scheinbar alles als html-Seite abspeichert.
Bislang hat noch kein Browser wegen ein paar Code-Zeilen angeschlagen.
Sonst wären hier schon viel mehr, die danach gefragt hätten.