Virus-Warnung abschalten

German support forum

Moderators: Stefan2, white, sheep, Hacker

Post Reply
phantom
Power Member
Power Member
Posts: 528
Joined: 2003-11-21, 15:34 UTC

Virus-Warnung abschalten

Post by *phantom » 2019-04-08, 15:14 UTC

Hallo,

seit gestern suche ich nach der Ursache für die ominöse Warnung:

Code: Select all

WARNUNG: der Name enthält Zeichen typisch für einen Virus/Wurm. Funktion abgebrochen.
Läst sich diese Warnung abstellen oder einer Liste Ausnahmen hinzufügen? Bei der Warnung handelt es sich um einen Fehlalarm, diese Datei enthält 100% keinen Virus. Geprüft mit Virustotal! Bei der Datei handelt es sich um eine Datei des Formats ".eml". Mir war gar nicht bewusst, dass der Total Commander in der Lage ist Schadcode zu erkennen und dies auch ungefragt tut.

Der Text des Warnhinweises ist zu dem auch irreführend, da der Name der Datei sicher keine typischen Zeichen für Viren enthält. Wie sehen denn typische Zeichen für Viren aus? Allenfalls die Datei-Endung ".vir" könnte man vielleicht als "Name enthält Dateiendung typisch für mit Virus gekennzeichnete Datei" bezeichnen.

User avatar
milo1012
Power Member
Power Member
Posts: 1096
Joined: 2012-02-02, 19:23 UTC

Re: Virus-Warnung abschalten

Post by *milo1012 » 2019-04-08, 15:32 UTC

https://www.ghisler.ch/board/viewtopic.php?f=15&t=46465
Zusammengefasst: durch den Unicode LTR/RTL-Algorithmus kann man hier u.U. eine "falsche" Dateiendung als korrekte Dateiendung unterjubeln. Stichwort "fdp.exe" VS "exe.pdf".
Leider ist mir keine Option (Ini-Datei-Einstellung) bekannt, mit der man das Ganze abschalten kann. Aber in deinem Fall ist die Warnung vielleicht korrekt?
TC plugins: PCREsearch and RegXtract

phantom
Power Member
Power Member
Posts: 528
Joined: 2003-11-21, 15:34 UTC

Re: Virus-Warnung abschalten

Post by *phantom » 2019-04-08, 15:53 UTC

Nein, das ist ein Fehlalarm. Es handelt sich um eine Nachricht die ich als Datei mit Thunderbird gespeichert habe. Ich finde das irgendwie merkwürdig, da der Dateiname ja nichts Unicode typisches enthält. Der TC muss aus irgendeinem Grund diese Datei überprüfen und scheinbar beim "Öffnen" bzw. "Öffnen mit". Das sollte doch abstellbar sein, vor allem, da dies der TC ungefragt macht.

User avatar
milo1012
Power Member
Power Member
Posts: 1096
Joined: 2012-02-02, 19:23 UTC

Re: Virus-Warnung abschalten

Post by *milo1012 » 2019-04-08, 15:58 UTC

phantom wrote:
2019-04-08, 15:53 UTC
Ich finde das irgendwie merkwürdig, da der Dateiname ja nichts Unicode typisches enthält.
Das ist ja genau der Punkt bei dieser "Sicherheitslücke": man sieht dies Art der Spiegelschrift nicht, weil die entscheidenden Zeichen dafür unsichtbar sind.
Du könntest den Dateinamen mal in eine Textdatei kopieren und dann genau untersuchen, welche Zeichen im einzelnen enthalten sind, oder, falls möglich, auch hier im Forum posten.

Natürlich bleibt auch die Möglichkeit, dass es tatsächlich falscher Alarm ist, aber wie schon im verlinkten Thread geschrieben: TC reagiert eigentlich nur auf die Bidi-Marker-Zeichen, sonst sollte da nix kommen. Sicherlich, ganz ausschließen kann man einen Fehlalarm nicht, aber das kann nur Christian beantworten.
TC plugins: PCREsearch and RegXtract

phantom
Power Member
Power Member
Posts: 528
Joined: 2003-11-21, 15:34 UTC

Re: Virus-Warnung abschalten

Post by *phantom » 2019-04-08, 16:49 UTC

‏‏‏Ich habe noch nie etwas von Bidi-Marker-Zeichen gehört. Aber da ist scheinbar tatsächlich ein unsichtbares Zeichen. Dies wird beim "Verzeichnisse synchronisieren" sichtbar. Es ist erstaunlich wie hartnäckig dieses verborgene Zeichen ist. Beim kopieren in die Zwischenablage bleibt dies erhalten.

User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 37475
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Virus-Warnung abschalten

Post by *ghisler(Author) » 2019-04-08, 16:51 UTC

WARNUNG: Das ist höchstwahrscheinlich doch ein Virus! Der Name hat meist die Form
name.eml.exe
aber enthält Unicode-Zeichen zum Wechseln zwischen links-nach-rechts- und rechts-nach-links-Text. Dadurch ist der Name nicht als exe-Datei zu erkennen, beim Doppelklick wird die Datei aber sehr wohl als EXE-Datei gestartet...
Author of Total Commander
http://www.ghisler.com

phantom
Power Member
Power Member
Posts: 528
Joined: 2003-11-21, 15:34 UTC

Re: Virus-Warnung abschalten

Post by *phantom » 2019-04-08, 17:07 UTC

Virustotal - sagt kein Virus. Die Datei habe ich aus Thunderbird als Nachricht gespeichert. Nachdem ich den Dateinamen jetzt nochmal von Hand eingegeben und neu abgespeichert habe, lässt sich die Datei ganz normal mit Thunderbird oder im Texteditor öffnen.

Post Reply