Home

Home | Know-How | Portfolio | Presse | News | Sicherheits-Meldungen | Links | Kontakt | Impressum
 
Datum Details
   
6. Juni 2002

Folgende Mail erreichte uns von Sophos:

Subject: Momma-B "Trojan" in Sambar 5.1...no panic!
To: info@daten-treuhand.de
From: sophos.com
Date: Thu, 6 Jun 2002 18:12:16 +1000

Hi, Axel.

Your recent post to focus-virus was forwarded to me. I believe that you scanned SAMBAR51P.EXE with Sophos Anti-Virus (SAV) 3.58 (June 2002) and got a "Troj/Momma-B" report.

I checked this out...it's a false positive. Sorry about that.

If you download and deploy the identities for SAV 3.58 then the problem is corrected. The identities and instructions for their use are at:
http://www.sophos.com/downloads/ide/

FWIW, you it's good to download IDEs routinely in order to keep bang up-to-date. Otherwise recent viruses may go undetected. Details are at the above URL.

If you have any more questions, please get in touch with me personally.....

Hope this helps.

Have a good one.

Paul Ducklin
Head of Global Support
Sophos Anti-Virus


Es handelt sich, wie wir vermuteten, um einen Fehlalarm. Dies kann vorkommen, wenn Programmcode zufällig dieselben characteristischen Muster aufweist wie ein bösartiges Programm.

Insofern kann 'Entwarnung' gegeben werden.

5. Juni 2002

Sophos Antivirus meldet Trojaner 'Momma-B' in Samber Server 5.1production.

Produktbeschreibung:
Samber Server 5.1 ist ein kombinierter Server/Proxy für HTTP, FTP, POP3, SMTP, NNTP, TELNET und SOCKS. Sambar Server läuft untr Windows-Betriebssystemen.

Produzent:
Sambar Server wird von Tod Sambar programmiert. Die entsprechende Homepage finden Sie hier.

Fehlerbeschreibung:
Sophos Antivirus (von Sophos, USA) meldet bei scannen der Distributions-Datei (u.a. von http://www.sambarserver.com/download/sambar51p.exe) folgenden Trojaner / Backdoor.

Momma-B

Dieser Trojaner installiert sich unter Windows. Er stellt eine Verbindung zu einem IRC-Server her und wartet dort auf Befehle. Hierzu wird ein eigener IRC-Client genutzt, es ist nicht notwendig, ein IRC-Programm installiert zu haben.

Details zur Beschreibung des Trojaners finden Sie auf der Deutschen Homepage von Sophos (hier).

 

Anmerkungen:
Wir sind der Virenwarnung noch nicht detaillierter nachgegangen. Insbesondere haben wir noch nicht untersucht, ob es sich lediglich um eine Konzidenz von erkannten Bytemustern handelt, die dazu führen, daß ein Virus fälschlicherweise erkannt wird. Derzeit wird eine Testinstallation von Sambar Server 5.1 im laufenden Betrieb auf irregulären Datenverkehr hin untersucht.

   

BACK

Alle Informationen sind (c) 2001 by Daten-Treuhand.de. Verwendung nur unter Verweis auf www.daten-treuhand.de!