Tom's Hardware > Foren > Monitore, Projektoren, Flachbildfernseher > Kleine Wurm-Warnung: Samsung SPF-71 E

Kleine Wurm-Warnung: Samsung SPF-71 E

Forum Monitore, Projektoren, Flachbildfernseher : Kleine Wurm-Warnung: Samsung SPF-71 E

Tom's Hardware: 1,4 Mio. Mitglieder aus 6 verschiedenen Ländern beantworten alle Ihre Fragen über Computer-Technik und IT. Um Hilfe zu erhalten, registrieren Sie sich kostenlos!
Die Community fragen Antwort hinzufügen
Wort:    Username:           
 
DHAmoKK   08.12.2008 um 13:00:19

Moin

 

Aus aktuellem Anlass (ich will so ein Ding meiner Mutter schenken und hielt es eben in der Hand) gebe ich mal eine kleine Warnung heraus:

 

Auf den besagten Photoframes SPF-71E, weiß, von Samsung befinden sich zwei Dateien, die meiner Meinung nach NICHT darauf gehören: ".VBS" und "autorun.inf".

 

Antivir erkennt diese als "VBS/AUTORUN.AL", andere AV-Hersteller wie folgt:

 

• Mcafee: W32/Autorun.worm.al virus
• Kaspersky: Trojan.VBS.Agent.bt
• F-Secure: Trojan.VBS.Agent.bt
• Sophos: VBS/Autorun-AO
• Bitdefender: VBS.Worm.Runauto.D

 

Bei Ausführung des Scripts verhält es sich genau so, wie zB auf der Seite TrustedSource.org, es legt u.A. eine Datei ".VBE" ins "C:\Windows"-Verzeichnis, wurde in meinem Fall von Antivir aber unschädlich gemacht.

 

Eine Beschwerde habe ich Samsung schon zukommen lassen, mal sehen, wie ihre Antwort aussieht. Mit der Funktion des Bilderrahmens an sich haben die Dateien auf jeden Fall nichts zu tun.

 

//edit: Korrekturen


Nachricht bearbeitet von DHAmoKK am 12.12.2008 um 11:59:39
Antwort hinzufügen
Anzeigen
Ragamuffin   08.12.2008 um 13:28:00
- 0 +

Das ist ja mal ein Ding. Die Antwort würd mich ja interessieren.

Antworten Ragamuffin
DHAmoKK   11.12.2008 um 09:42:30
- 0 +

Moin

 

Ach, die sind doch doof bei Samsung :o
Neuerdings habe ich doch einen kompetenten Mitarbeiter am anderen Ende des Internets ^^

 

Naja, was solls: Nachdem ich den ganzen Text noch einmal einsenden durfte, weil deren Datenbank anscheinend keine Sonderzeichen á la ", \, /, : und ganz besonders • verträgt, kam nun doch mal eine Antwort:

Zitat :

GutenTag Herr Dennis Hartmann,

 

vielen Dank für Ihre Anfrage.

 

Im Frame Manager Version 1.08 liegt in der Tat ein Schaedling vor.

 

Ueber die Presse haben wir kommunizieren lassen, dass der Schaedling W32.Sality aufeinigen, wenigen Produkt-CDs enthalten ist, in der neusten Version des Frame Manager 1.082 ist diese Unannehmlichkeit bereinigt.

 

Ueber eine extra eingerichtete Internetseite steht die neue Version zum Download bereit:

 

http://www.samsung.de/experience/p [...] loads.aspx

 

Gerne lassen wir Ihnen auch eine neue CD zukommen, schicken Sie dazu bitte eine E-Mail an:

 

photoframes@mail.samsung.de

 

Ob Ihre CD wirklich betroffen ist, entnehmen Sie dieser bebilderten Anleitung:

 

http://www.samsung.de/experience/p [...] eitung.pdf

 

Wir bitten diese Unannehmlichkeiten zu entschuldigen und danken für Ihr Verständnis.

 

Nun habe ich zurückgeschrieben, dass ich noch nicht einmal die Software installiert hatte und sich der Wurm, aber nicht W32/Sality, direkt auf dem Speicher des Bilderrahmens befindet. Vielleicht raffen sie es ja doch noch.

 

Nichts desto trotz werde ich mit den Informationen jetzt mal die CD untersuchen.
Mir fällt gerade ein, dass bei dem SPF-71E überhaupt keine Software beiliegt. Die gibt es erst ab dem SPF-75 ... wofür gebe ich eigentlich Seriennummer und Modell bei Samsung an?


Nachricht bearbeitet von DHAmoKK am 12.12.2008 um 10:17:13
Antworten DHAmoKK
daimonion81   11.12.2008 um 10:39:10
- 0 +

Habe bei Mindfactory gestern den Warnhinweis gelesen, bezieht sich aber auch nur auf die Treiber CD.

Wollte ich auch warnend hier posten, weil sonst habe ich die Info noch nicht gesehen. Der Wurm soll richtig heftig (nicht entfernbar) sein.

Jetzt finde ich ich doch grad die Info nicht mehr wieder...

Antworten daimonion81
DHAmoKK   11.12.2008 um 11:04:13
- 0 +

Moin

 

Also, der VBS Wurm ist, wie gesagt, direkt in dem integrierten 120MB Speicher des Bilderrahmens. Beim SPF-71E gibt es keine Treiber CD ^^
//edit: Korrekturen
Der VBS Wurm setzt sich laut Sophos als Flower.exe an mehrere Punkte in die Registry:

 

Natürlich nicht nur die drei Einträge, es sind insgesamt 112 Einträge, aber alle beim Debugger. Die ganze Liste gibts bei Sophos, Link ist im ersten post.

Sorry für die Fehlinformation! Hatte bei Sophos auf der Site den falschen Wurm auf.
Dieser, der auf dem Samsung Rahmen drauf ist, setzt sich als .vbe Datei in C:\Windows und C:\Windows\System32, die Verbreitung geschieht ausschließlich über Tragbare Medien, USB-Stick, externe Festplatten oder eben auch Bilderrahmen, die per USB angeschlossen werden.
\\edit Ende

 

In den letzten Minuten kam eine neue Antwort:

Zitat :

GutenTag Herr Hartmann,

 

vielen Dank für Ihre Anfrage.

 


Vielen Dank fuer Ihre Rueckmeldung, wir haben Ihre Anfrage aufgenommen.
Es besteht Klaerungsbedarf, Sie erhalten schnellstmoeglich Rueckmeldung
von uns.

 

So langsam scheinen sich Menschen meinen Schrieb durchzulesen und kein Roboter ;)


Nachricht bearbeitet von DHAmoKK am 12.12.2008 um 12:04:36
Antworten DHAmoKK
leanproduction   11.12.2008 um 11:21:37
- 0 +

Es besteht Klärungsbedarf... interessant...

Antworten leanproduction
drno   11.12.2008 um 11:40:33
- 0 +

Bei Samsung gibts ja auch die Automatik Software Updater für die Opticals,
die hat vor einem guten halben Jahr der Scanner auch unter Verdacht gehabt...

http://www.freedrweb.com/cureit/

immer frisch runtergezogen, braucht nicht installiert werden...

Antworten drno
DHAmoKK   11.12.2008 um 11:59:34
- 0 +

Moin

 

@drno
In dem Falle ist wäre es eine große Frechheit von Samsung, den Updater einfach per autorun auf dem PC zu starten, ohne irgendwelche Fensteranzeigen oder Meldungen.
Generell kann ich es nicht haben, wenn Programme zB erstmal nach Updates suchen und das auch noch ungefragt und unangemeldet, bevor überhaupt das Hauptfenster zu sehen ist.
Während der Ausbildung gab es ein Informatikbuch mit CD dabei, auf der CD sollte noch das eine oder andere Programm sein zur Veranschaulichung etc. Das Hautpprogramm wurde im Vollbild ausgeführt und als ich etwas anklickte, passierte erstmal gar nichts. Dafür las er vom Laufwerk wie irre, auch die Festplatte rappelte. Nach einer guten Minute wurde es mir zu dumm und ich schaute per Alt-Tab mal nach, was "hinter" dem Programm so geschah: Es installierte ungefragt, völlig automatisch und versteckt im Hintergrund Lotus Notes! Die CD flog augenblicklich in die Ecke! Und Lotus Notes wieder von meinem PC.

 

//edit
Ich habe das Script mal aus der Quarantäeine(neindudooferwortbotesheißtNICHTquarantäeine!) geholt und bei Virustotal.com hochgeladen, Ergebnis: 30 von 38 Scannern finden das Ding, u.A. als VBS.Agent.

 

Hier ist noch ein Screenshot von Virustotal:
http://www.abload.de/thumb/virustotalvbsscripttglo.jpg

 

Das verklicker ich jetzt auch noch Samsung.


Nachricht bearbeitet von DHAmoKK am 12.12.2008 um 12:12:06
Antworten DHAmoKK
DHAmoKK   12.12.2008 um 12:11:48
- 0 +

Moin

 

Leider musste ich ein paar Korrekturen durchführen, ich hatte blöderweise den falschen Wurm bei Sophos angezeigt bekommen ...
Nichts desto trotz bleiben die restlichen Dinge bestehen, das Script setzt sich als .vbe Datei ins Windows und System32 Verzeichnis, sowie eine Verknüpfung ins Startmenü/Autostart aller Benutzer (AllUsers).
Die nächste Startoption ist in der Registry.

Code :
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run


Hier erstellt der Wurm eine Zeichenfolge mit Namen "WS" und dem Inhalt ".vbe"

 

Wie oben im Edit in meinem dritten Post zu lesen, verbreitet sich das Ding über USB-Sticks, externe Festplatten etc. Anscheinend gibt es keine weiteren Schadroutinen, da ein paar AV-Programme das Ding "Exploit" nennen.

 

Kleines Update

Zitat :


vielen Dank für Ihre Anfrage.

 

Vielen Dank fuer Ihre Rueckmeldung, Ihr Screenshot ist angekommen und wurde weitergeleitet, Sie erhalten umgehend Feedback.

 

Interessanterweise habe ich seit der zweiten Mail auch immer eine Person am anderen Ende, ein Herr Michael S. Das finde ich gut.


Nachricht bearbeitet von DHAmoKK am 12.12.2008 um 12:18:05
Antworten DHAmoKK
DHAmoKK   15.12.2008 um 11:15:10
- 0 +

Moin

 

Und die nächsten Neuigkeiten: Heute hat mich Samsung angerufen und wollte ein paar Informationen haben zum Virus, Gerät, Distributor etc.

 

Ich habe ihm alles erklärt und jetzt geht die interne Recherche los, das HQ in Taiwan weiß auch bescheid, allerdings wird dort nicht produziert. Das Hauptlager in den Niederlanden hatte keine Geräte des Typs SPF-71 E mehr vorrätig, sodass bisher keine Geräte von Samsung getestet werden konnten. Jetzt versucht Samsung, bereits ausgelieferte Gerät von unserem Distributor zurückzuholen.

 

Ob dieser Vorfall mit den vor 2 Wochen infizierten CDs (siehe heise.de Meldung) zusammenhängt, ist noch unbekannt.


Nachricht bearbeitet von DHAmoKK am 15.12.2008 um 11:17:02
Antworten DHAmoKK
Anonyme   15.12.2008 um 19:36:31
- 0 +

Wie ein Krimi... ;)

Nee im Ernst, interessant zu erfahren, wie ein Hersteller mit so etwas umgeht.

Antworten Anonyme
kleineMax   19.12.2008 um 04:07:32
- 0 +

Hallo hab auch das Gerät heute gekauft und hab erst gedacht mein antivir spinnt.

Erst ist die eine(beiden) .vbe Datei nicht mehr verschwunden nach jedem löschen kahm sie wieder aber nun scheint nach einem löschen und anschließenden Neustart das ding weg denn Antivir meckert nicht mehr.

Aber der Bilderrahmen auf dem auch die beiden als Virus/Wurm erkannten Datein, .vbs und autorun.inf, drauf sind wird nicht mehr erkannt.
Also wenn ich ihn per USBanschließe tauchen einfach nur zwei leere "Wechseldatenträger" die ich auch nicht nutzen kann. Was soll das o.O?

Liegt das am Virus?

PS:
Edit zu später Stunde, also eine Formartierung des internen Speicher hat dieses Problem mit dem "Wechseldatenträger" wohl behoben zu haben. Auch wird das Gerät nun SOFORT erkannt, nicht wie vorher erst nach mehreren Sekunden.

PPS:
Ich komm wohl nicht mehr ins Bett...
Nun stell ich fest das es anscheint nicht möglich ist das man bei einer eingesteckten SD Karte und anschließender Verbindung zum PC, die SD Karte ordentlich aus zu lesen. Also erst scheint alles i.O. man sieht die Daten auf der Karte und dann mekommt man aber ein Problem denn man kann dann weder auf den Internen Speicher noch auf die SD Karte zugreifen.

Eigentlich Dafür der Falsche Thread fällt mir grad auf -.-


Nachricht bearbeitet von kleineMax am 19.12.2008 um 04:45:37
Antworten kleineMax
DHAmoKK   19.12.2008 um 11:53:19
- 0 +

Moin

@kleineMax
Ich hatte keine Probleme mit dem Zugriff auf den Datenträger an sich. Vielleicht war dein Explorer etwas verwirrt, nachdem Avira die.VBS Datei gekillt hat und in der autorun.inf stand drin "starte .VBS" ...

Eine SD Karte habe ich gar nicht, kann das also nicht testen.

Weitere Neuigkeiten sietens Samsung habe ich noch nicht erhalten.

Antworten DHAmoKK
nforce   26.12.2008 um 00:53:16
- 0 +

Wie siehts jetzt aus? Schon was Neues?

Antworten nforce
DHAmoKK   26.12.2008 um 11:38:47
- 0 +

Moin

Leider noch nichts neues. Auf die Fimenmailadresse habe ich von hier auch keinen Zugriff ^^ Seit dem Anruf wurde es doch irgendwie ruhig um Samsung.

Den bereinigten Rahmen habe ich meiner Mutter erfolgreich zu Weihnachten geschenkt ^^ Und auch erfolgreich an meinem PC angeschlossen, ohne dass dieser infiziert wurde ;)

Antworten DHAmoKK
oheli   05.01.2009 um 03:20:04
- 0 +

Echt wie n krimi?!
Und gibts schon was neues??
Ich frag mich ja wie des Ding ins Samsung-System rein gekommen is...


Nachricht bearbeitet von oheli am 05.01.2009 um 03:20:40
Antworten oheli
DHAmoKK   05.01.2009 um 13:02:06
- 0 +

Moin

 

Von Samsung ausgehend habe ich noch nichts neues erfahren, darum habe ich jetzt ganz frech mal angefragt, wie die Nachforschungen laufen :D

 

Wie das Ding auf den Bilderrahmen kommt, kann man zur Zeit wirklich nur mutmaßen:

Spoiler :


Warscheinlich hat ein Mitarbeiter unerlaubt einen privaten USB-Stick an jene Maschine gehangen, die dafür verantwortlich ist, die Demo-Bilder auf den internen Speicher zu schreiben.

 

Eine Sabotage zur Imageschädigung kann man allerdings auch noch nicht ausschließen.

 

Eventuell kam das Ding ebenfalls über den Trojaner, der Ende November auf den Treiber-CDs der größeren Modelle SPF-75H, SPF-85H, SPF-86H, SPF-85P, SPF-86P, SPF-105P enthalten war.


Nachricht bearbeitet von DHAmoKK am 05.01.2009 um 13:03:11
Antworten DHAmoKK
Die Community fragen Antwort hinzufügen
Tom's Hardware > Foren > Monitore, Projektoren, Flachbildfernseher > Kleine Wurm-Warnung: Samsung SPF-71 E
Zu:

Es gibt 93 identifizierte und nicht identifizierte User. Zur Ansicht der Liste identifizierter User, Hier klicken.

Forum-Verzeichnis
Bestofmedia Forum ©
2000-2009 Bestofmedia Group
Seite erstellt in 0,663 Sekunden
Wichtiger Hinweis

Dieses Thema ist länger als 6 Monate inaktiv.
Bitte überprüfen Sie, ob Ihr beabsichtigter Kommentar noch einen Mehrwert bringt oder das Anlegen eines neuen Themas nicht besser wäre.

Antwort hinzufügen Abbrechen
Google Anzeigen
  • Die Community jetzt fragen
  • Veröffentlichen
Anzeige
Mehr verwandte Themen
Verwandte Themen
Videos
Die folgenden Community-Mitglieder erhielten Auszeichnungen!
Wir gratulieren:
Wie gewinne ich Abzeichen?
Anzeigen