WARNUNG: der Name enthält Zeichen typisch für einen Virus/Wurm. (Unicode RTL Spiegelschrift Bidi-Marker)

German support forum

Moderators: white, Hacker, Stefan2

Post Reply
phantom
Power Member
Power Member
Posts: 671
Joined: 2003-11-21, 15:34 UTC

WARNUNG: der Name enthält Zeichen typisch für einen Virus/Wurm. (Unicode RTL Spiegelschrift Bidi-Marker)

Post by *phantom »

Hallo,

seit gestern suche ich nach der Ursache für die ominöse Warnung:

Code: Select all

WARNUNG: der Name enthält Zeichen typisch für einen Virus/Wurm. Funktion abgebrochen.
Läst sich diese Warnung abstellen oder einer Liste Ausnahmen hinzufügen? Bei der Warnung handelt es sich um einen Fehlalarm, diese Datei enthält 100% keinen Virus. Geprüft mit Virustotal! Bei der Datei handelt es sich um eine Datei des Formats ".eml". Mir war gar nicht bewusst, dass der Total Commander in der Lage ist Schadcode zu erkennen und dies auch ungefragt tut.

Der Text des Warnhinweises ist zu dem auch irreführend, da der Name der Datei sicher keine typischen Zeichen für Viren enthält. Wie sehen denn typische Zeichen für Viren aus? Allenfalls die Datei-Endung ".vir" könnte man vielleicht als "Name enthält Dateiendung typisch für mit Virus gekennzeichnete Datei" bezeichnen.
User avatar
milo1012
Power Member
Power Member
Posts: 1158
Joined: 2012-02-02, 19:23 UTC

Re: Virus-Warnung abschalten

Post by *milo1012 »

https://www.ghisler.ch/board/viewtopic.php?f=15&t=46465
Zusammengefasst: durch den Unicode LTR/RTL-Algorithmus kann man hier u.U. eine "falsche" Dateiendung als korrekte Dateiendung unterjubeln. Stichwort "fdp.exe" VS "exe.pdf".
Leider ist mir keine Option (Ini-Datei-Einstellung) bekannt, mit der man das Ganze abschalten kann. Aber in deinem Fall ist die Warnung vielleicht korrekt?
TC plugins: PCREsearch and RegXtract
phantom
Power Member
Power Member
Posts: 671
Joined: 2003-11-21, 15:34 UTC

Re: Virus-Warnung abschalten

Post by *phantom »

Nein, das ist ein Fehlalarm. Es handelt sich um eine Nachricht die ich als Datei mit Thunderbird gespeichert habe. Ich finde das irgendwie merkwürdig, da der Dateiname ja nichts Unicode typisches enthält. Der TC muss aus irgendeinem Grund diese Datei überprüfen und scheinbar beim "Öffnen" bzw. "Öffnen mit". Das sollte doch abstellbar sein, vor allem, da dies der TC ungefragt macht.
User avatar
milo1012
Power Member
Power Member
Posts: 1158
Joined: 2012-02-02, 19:23 UTC

Re: Virus-Warnung abschalten

Post by *milo1012 »

phantom wrote: 2019-04-08, 15:53 UTCIch finde das irgendwie merkwürdig, da der Dateiname ja nichts Unicode typisches enthält.
Das ist ja genau der Punkt bei dieser "Sicherheitslücke": man sieht dies Art der Spiegelschrift nicht, weil die entscheidenden Zeichen dafür unsichtbar sind.
Du könntest den Dateinamen mal in eine Textdatei kopieren und dann genau untersuchen, welche Zeichen im einzelnen enthalten sind, oder, falls möglich, auch hier im Forum posten.

Natürlich bleibt auch die Möglichkeit, dass es tatsächlich falscher Alarm ist, aber wie schon im verlinkten Thread geschrieben: TC reagiert eigentlich nur auf die Bidi-Marker-Zeichen, sonst sollte da nix kommen. Sicherlich, ganz ausschließen kann man einen Fehlalarm nicht, aber das kann nur Christian beantworten.
TC plugins: PCREsearch and RegXtract
phantom
Power Member
Power Member
Posts: 671
Joined: 2003-11-21, 15:34 UTC

Re: Virus-Warnung abschalten

Post by *phantom »

‏‏‏Ich habe noch nie etwas von Bidi-Marker-Zeichen gehört. Aber da ist scheinbar tatsächlich ein unsichtbares Zeichen. Dies wird beim "Verzeichnisse synchronisieren" sichtbar. Es ist erstaunlich wie hartnäckig dieses verborgene Zeichen ist. Beim kopieren in die Zwischenablage bleibt dies erhalten.
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Virus-Warnung abschalten

Post by *ghisler(Author) »

WARNUNG: Das ist höchstwahrscheinlich doch ein Virus! Der Name hat meist die Form
name.eml.exe
aber enthält Unicode-Zeichen zum Wechseln zwischen links-nach-rechts- und rechts-nach-links-Text. Dadurch ist der Name nicht als exe-Datei zu erkennen, beim Doppelklick wird die Datei aber sehr wohl als EXE-Datei gestartet...
Author of Total Commander
https://www.ghisler.com
phantom
Power Member
Power Member
Posts: 671
Joined: 2003-11-21, 15:34 UTC

Re: Virus-Warnung abschalten

Post by *phantom »

Virustotal - sagt kein Virus. Die Datei habe ich aus Thunderbird als Nachricht gespeichert. Nachdem ich den Dateinamen jetzt nochmal von Hand eingegeben und neu abgespeichert habe, lässt sich die Datei ganz normal mit Thunderbird oder im Texteditor öffnen.
Post Reply