1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Bitte schaltet eure Ad Blocker aus. SLinfo kann nur betrieben werden, wenn es durch Werbung Einnahmen erzielt. Vielen Dank!!
    Information ausblenden
  3. Wir freuen uns, wenn du dich in unserem Forum anmeldest. Bitte beachte, dass die Freigabe per Hand durchgeführt wird (Schutz vor Spammer). Damit kann die Freigabe bis zu 24 Stunden dauern.
    Information ausblenden

Malwarefund bei opensim-0.8.1.1.zip, was soll man davon halten?

Dieses Thema im Forum "OpenSim - Allgemeine Diskussionen" wurde erstellt von Jenna Felton, 6. Oktober 2015.

  1. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.992
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Guten abend.

    Aus Frust an meiner miserablen Internetanbindung (ganz andere Geschichte) wollte ich auf meiner lokalen Sim das Riggen vom Mesh ausprobieren. Genauer gesagt wollte ich meine Avine wie in SL aus Mesh haben bzw. gucken wie schwer es eigentlich sein könnte. Den Avatar Workbench habe ich gefunden (aber noch keine Schieberegler im Blender, die angeblich den Avatarshape wie den in SL einstellen lassen). Meine Installation ist OS 0.8.0.2 im Standalone, und so wie ich es sehe, funktioniert dort kein fitted Mesh. Zumindest so ist es zu erklären, dass der Testavatar aus Fitted Mesh Kit völlig zerknittert ankommt. In SL kommt dasselbe Mesh (gerade ausprobiert) ordentlich an.

    0.8.1 soll aber fitted mesh können. Also habe ich die opensim-0.8.1.1.zip heruntergeladen, direkt von der Quelle. Und wie immer bevor ich irgendwas installiere, diese von virustotal checken lassen. Das Ergebnis: Malwarefund. Als Gegencheck: Die opensim-0.8.0.2.zip die bei mir installiert ist, ist fundfrei.

    Das ist dem Internet anscheinend neu, obwohl die 0.8.1.1 schon etwas länger raus ist, ich finde keine Meldungen diesbezüglich. Irgendwie möchte ich aber keine Software installieren, auch wenn es ein false positive sein könnte, ein Fund reicht schon. Ist Euch etwas diesbezüglich bekannt?

    LG
    Jenna
     
  2. Dorena Verne

    Dorena Verne Superstar

    Beiträge:
    1.386
    Zustimmungen:
    149
    Punkte für Erfolge:
    63
    Nein, bisher nicht. Aber ich nutze eh eine andere Version, werde das mal testen.
     
  3. Nicoletta Schnute

    Nicoletta Schnute Forumsgott/göttin

    Beiträge:
    8.042
    Zustimmungen:
    712
    Punkte für Erfolge:
    123
    Es ist gut möglich das einfach nur eine Signatur gleich ist wie von einer Malware.

    Schau doch mal ob es zu dem Download nicht auch eine Prüfsumme gibt und vergleiche diese ggf.
     
  4. Mareta Dagostino

    Mareta Dagostino Superstar

    Beiträge:
    1.315
    Zustimmungen:
    99
    Punkte für Erfolge:
    49
    Leider gibt es von den offiziellen Binaries keine Prüfsummen. Warum keine Ahnung, eigentlich sollte das Standard sein.
     
  5. Johanna Burnstein

    Johanna Burnstein Freund/in des Forums

    Beiträge:
    749
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ist beim Tarball das selbe Ergebniss. Könnte ein False-Positive sein. Die einzigen die sich dran stören sind Rising. Chinesen. (Oh, vielleicht ein NSA Virus, das die anderen Scanner nicht sehen wollen. Aluhut rauskram... :D )

    Problem bei VirusTotal ist halt wenn man ein Archiv hochlädt, sagt es einem nicht an welcher Datei, aus dem Archiv, der Scanner sich stört.

    EDIT: Habs. :) Ist die Datei bin/Prebuild.exe an der der Chinese sich stört. https://www.virustotal.com/de/file/...3f2394b8b05ba09cabc4468c/analysis/1444161660/
     
    Zuletzt bearbeitet: 6. Oktober 2015
  6. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.992
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Du bist gut Johanna, alle dateien durchtesten :) leider sagt mir die Malwarebezeichnung nichts, außer dass es bei virustotal gefunden wurde. Google liefert zu "PE:Malware.RDM.33!5.27[F1]" lauter Fundergebnisse und die Malware ist irgendwie nur durch Rising gefunden.
     
  7. Johanna Burnstein

    Johanna Burnstein Freund/in des Forums

    Beiträge:
    749
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Naja, ich hab es mir aber auch leicht gemacht. a) Nur die Dateien genommen die potenziell Auslöser sein könnten. (Die Assemblies und anderen DLLs waren da heiße Kandidaten.) b) Kann man das ganze ja per Script automatisieren. Mann muss die Datein ja nur nacheinander per POST hochjagen und bekommt dann JSON Objekte zurück, in denen sich eine 'reanalyse_url' befindet. Diese an den Browser verfüttern und später die Tabs nur noch durchklicken. (curl, grep & co. helfen da)

    Ich hab noch was zum Thema Aluhut:

    Prebuild.exe dient ja irgendwie dazu Konfigurationsdateien für den Buildprozess zu erstellen. Unter anderem auf für Xcode. (Prebuild.Core.Targets.Xcode) ...RatterRatter... Chinesen ...RatterRatter... Xcode ...RatterRatter... Da war doch noch was! :D Keine Ahnung, muss nichts miteinander zu tun haben. Ist mir nur ins Auge gefallen.

    Ansonsten die Herren Holmes, Moorehead, Adams-Collier, Loach, Hudson oder Hurliman anschreiben und fragen, ob die sich einen Reim darauf machen können. (eMail Adressen finden sich auch irgendwo in der Assembly) ;)
    Nochmal Edit: ...ach da:
    PHP:
    private void LogBanner()
    {
        
    this.m_Log.Write("Prebuild v" this.Version);
        
    this.m_Log.Write("Copyright (c) 2004-2010");
        
    this.m_Log.Write("Matthew Holmes (matthew (at) wildfiregames.com),");
        
    this.m_Log.Write("Dan Moorehead (dan05a (at) gmail.com),");
        
    this.m_Log.Write("David Hudson (jendave (at) yahoo.com),");
        
    this.m_Log.Write("Rob Loach (http://www.robloach.net),");
        
    this.m_Log.Write("C.J. Adams-Collier (cjac (at) colliertech.org),");
        
    this.m_Log.Write("John Hurliman (john.hurliman (at) intel.com),");
        
    this.m_Log.Write("See 'prebuild /usage' for help");
        
    this.m_Log.Write();
    }
     
    Zuletzt bearbeitet: 6. Oktober 2015
  8. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.992
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Ich hatte keine Möglichkeit, mich darum genau zu kümmern, aber vielleicht hat jemand anders es entdeckt oder entweder hat sich der Quelltext oder der Virenscanner sich aktualisiert.

    Jedenfalls sind sowohl opensim-0.8.1.2 als auch opensim-0.8.2.1 fundfrei.

    Ob der Fund im ersten Post irgendein Wind gemacht hat in der OS Community außer in diesem Thread kann ich nicht sagen, ist aber vielleicht nicht mehr wichtig.
     
  9. Leora Jacobus

    Leora Jacobus Superstar

    Beiträge:
    3.564
    Zustimmungen:
    1.002
    Punkte für Erfolge:
    114
    Dafür habe ich massive Probleme mit dem SoaS8, das ich empfohlen hatte.

    Normalerweise benutzte ich immer das uralte SoaS 0.7.4 das Beacara so schön mundgerecht aufbereitet hatte, aber seitdem in meinem MESH- Castle letztes Jahr ein defektes Teil war hatte ich zunehmend Probleme, obwohl ich dieses gefunden hatte, ersetzt, mit einem ganz neuen Ordner aus der Vor- Castle Zeit wieder angefangen. Habe eeewig rumprobiert und dachte mir jetzt: "fang einfach mit SoaS 8 ganz neu wieder an". Fehlanzeige!! Schon beim allerersten Start (noch Flachland und Starterava ohne IARs und OARS) massig Fehlermeldungen:

    Könnte ja an meinem Computer liegen oder irgendwelcher Software die dort fehlt, aber Dorena hatte es netterweise getestet und die hatte die auch. Da Ener Hax irgendwie von der Bildfläche verschwunden scheint, bin ich etwas ratlos! Es scheint trotzdem zu funktionieren aber nicht lange. Hatte erst mein Shopping Center als OAR hochgeladen (scheinbar OK) dann meine Wintersim (scheinbar OK) ... dort halte ich mich immer gerne virtuell auf (mit schönem Weihnachtsstream) während ich in RL die Geschenke packe ...

    Aber als ich die zweite IAR hochladen wollte brach das Soas völlig zusammen mit ...

    System.OutOfMemoryException: Eine Ausnahme vom Typ "System.OutOfMemoryException" wurde ausgelöst.
    bei System.IO.MemoryStream.set_Capacity(Int32 value) .... usw.

    Nun hatte ich die Version \OpenSim.32BitLaunch.exe benuzt da ich einen 64 Bit Computer habe, obwohl angegeben war ...
    Ich werde mal neu anfangen und die andere probieren

    PS; Es fällt auf, daß das Programm irgendwelche Ressourcen laden will und nicht findet

    Error fetching resource from server: http://metaverseink.com/cgi-

    Das war mir auch bei meiner 0,7,4 Version schonmal aufgefallen und ich hatte in Gridtalk nachgefragt Die Antwort von Mareta Dagostino war recht erhellend, ich hatte das aber damals nicht weiterverfolgt.

    Das dürfte eine ziemliche Doktorarbeit werden, dazu komme ich dieses Jahr nicht mehr. ;)
     
    Zuletzt bearbeitet: 18. Dezember 2015
  10. Mareta Dagostino

    Mareta Dagostino Superstar

    Beiträge:
    1.315
    Zustimmungen:
    99
    Punkte für Erfolge:
    49
    Ich lese in mehreren OpenSim Foren mit, und zumindest öffentlich hat das keinen interessiert. Oder es hat keiner gemerkt, hier in SLinfo wird wohl niemand von OpenSimulator.org mitlesen, und die Grids verteilen in der Regel eigene, angepasste Versionen => compilieren selber.

    Jedenfalls ist das inzwischen obsolet, denn um zum Hypergrid kompatibel zu bleiben, müssen unbedingt mindestens folgende Versionen installiert werden:
    Release 0.7.6.3 (released on 4th March 2015) wer unbedingt noch eine Altversion braucht, beispielsweise wegen des Währungsmoduls.
    Release 0.8.0.4 (released on 4th March 2015) auch recht abgehangen.
    The current release is 0.8.2.1 (released on 9th December 2015) aktuelle Release.

    EDIT: Also 0.8.2.1 oder höher, alternativ eine der beiden oben genannten Versionen. Diese beiden wurden am 4. März extra an die neue Schnittstelle angepasst, andere Altversionen nicht.

    Viele Grüße,
    Mareta
     
    Zuletzt bearbeitet: 18. Dezember 2015
  11. Jenna Felton

    Jenna Felton Superstar

    Beiträge:
    1.992
    Zustimmungen:
    57
    Punkte für Erfolge:
    64
    Boa Leora, das ist auch doof.

    Bei 8.1.2 hatte ich bisher keine probleme dieser Art, dort habe ich aber nur meine Strand- und Sandboxsim ohne Meshgebäude, nur mit einigen Meshmodellen, die ich mir so teste. Dort hatte ich mit einer varregion gespielt und auf ein Problem gestoßen, wollte später das auf einer leeren 8.2.1 Installation testen, dasselbe Problem gab es auch da. Dazu aber lieber einen anderen Thread, vielleicht liegts nur an meiner (Mis)konfiguration.

    Kann es sein, dass es hier in der Konfiguration die Angabe von HomeURI fehlt?

    In OpenSim.ini und in StandaloneCommon.ini an diversen Stellen, überall sind sie bei mir auskommentiert, hat das aber keine Problemme verursacht.

    Andere Fehler sagen mir nix.

    Den Antworteil über cgi-bin hab ich gelöscht weil sich erübrigt. Ich hätte zuerst die Frage bei Gridtalk lesen sollen bevor ich hier antworte :oops:

    Nachtrag.

    Interessant ist, dass bei mir (opensim-0.8.2.1 auch praktisch ausgepackt aus dem zip) in OpenSim.ini unter [DataSnapshot] die beiden Links, data_services und DATA_SRV_MISearch schon auskommentiert sind.

    HomeURI taucht im OpenSim.log auch nur so auf:

    Die Einzige Stelle wo etwas wie HomeURI nicht auskommentiert ist, ist unter StandaloneCommon.ini:

    Das müsste die Stelle sein, weil danach sind auch SRV_InventoryServerURI, SRV_AssetServerURI, SRV_ProfileServerURI, SRV_FriendsServerURI, SRV_IMServerURI angegeben und die tauchen im OpenSim.log direkt nach HomeURI aufgelistet aber ohne die "SRV_" Präfix auf.

    Ob das Dir irgendwie hilft :confused:, hoffe ich schon.
     
    Zuletzt bearbeitet: 19. Dezember 2015