Norton Antivirus: Eigenartiger Fund

[G115B]

Hallo

 

Bin etwas Konfus, Norton fand einen Backdoor im FS Module Ordner! Wie das? Seit wann interessieren sich Hacker für den FS? Wie kommt ds Ding dahin? Zu welchem Programm gehört das Module, weiss das grad zufällig jemand?

 

Oder hat Norton ne Meise...

 

Norton Meldung:

 

C:\Programme\Microsoft Games\Flight Simulator 9\Modules\bglman.dll is infected with Backdoor.Graybird

 

Kann und hat jemand Lust mich aufzuklären?

 

Gruss Roy

[D-EBIP]

Heyho Roy,

 

die bglman.dll wird mit Cloud9-Produkten mitinstalliert.

 

Zur Funktionsweise gibt es in der Pisa-Review bei Avsim einen aussagekräftigen Abschnitt:

 

Zitiert aus: http://www.avsim.com/pages/0706/Pisa/Pisa.htm

 

All Cloud 9 scenery is protected by an e-commerce security application which will install BGLMAN.DLL and BGLMAN.DAT into your modules directory under FS9. BGLMAN verifies that your Cloud 9 scenery is valid and is slaved to your hardware configuration. It will also verify that no two hardware configurations are running Cloud 9 scenery at the same time and may also log IP addresses etc. The file is not only required to register the scenery but also to utilize it.

During thisconnection, it will send the user's data to the Esellerate site, using a strongly encrypted SSL connection (exactly like your browser would do if you bought from a website), and it will receive back BOTH the serial number AND the hardware activation data.

 

After this first connection has been done, the activation information is cached LOCALLY in the registry, and bglman.dll will NEVER connect again, as long as you don't lose your registry entirely because of a Windows reinstall.

Das ganze gibts aber auch serviert, wenn man z.B. Flugzeuge von Cloud9 installiert hat. Grundsätzlich ist die Datei nicht schädlich, mich hat allerdings damals die Meldung von meinem AntiVir auch nachdenklich gestimmt. Wenn man sich die Funktionen oben aber anschaut, kann man sich durchaus vorstellen, dass die Datei als Backdoor erkannt wird. Um Ärger zu vermeiden würd ich die Datei bestehen lassen und im Scanner als Ausnahme eintragen. Mit Norton kenne ich mich nicht so aus, aber ich denke mal da wirds sicher auch ne Möglichkeit geben, wo man beim Scannen auszulassende Dateien angeben kann. Zumindest hat dein Norton noch alle Körner im Schnabel... haben schon mehrere verschiedene Virenscanner drauf angeschlagen.

 

Hoffe ich konnte etwas helfen. :)

[G115B]

Hallo Henning

 

Uff... Da bin ich aber froh, dachte schon dass man den Addon-Programmierern auch nicht mehr uber'n Weg trauen kann.

 

Vielen, vielen Dank für deine aussführliche Aufklärung!

 

Wünsch dir n schönen Abend und erholsamen Urlaub falls einen vor dir hast :005:

 

Gruss Roy

[D-EBIP]

Salü Roy,

 

gern geschehen! Wäre mir damals nicht genau dasselbe passiert, hätt ich mich da auch nie weiter drum gekümmert. ;)

 

Urlaub... naja, heute die letzte von 3 wichtigen Klausuren geschrieben, die letzte Woche war purer Stress. Nun erwarten mich 3 Monate "vorlesungsfreie Zeit", die ich mit dem Schreiben zweier großer Hausarbeiten verbringen darf. Mit gelegentlichen kleinen "Kurzurlaubstrips"... joar, doch... :009: :D

 

Dir ebenfalls einen schönen Abend!

[G115B]

Mit gelegentlichen kleinen "Kurzurlaubstrips"

Yea, so muss es sein. Batterie auftanken (mit was auch immer :009: :D )

 

cu

 

 

Roy

[D-EBIP]

Wohl nich das was du denkst... :D :D :D

 

[conaly]

Hi,

wenn wir schon beim Thema sind:

Avira Antivir (Free) schlägt bei mir jedes mal bei der DLL von FS2Crew an. Es ist die Datei "C:\WINDOWS\system32\fs2cchk4.dll" welcher das "unerwünschte Programm" "TR/Crypt.XPACK.Gen" beinhaltet. Kann man das irgendwie umgehen, weil diese Meldung kommt immer, wenn ich die PMDG744 auswähle.