Flashguard?

[Tankred]

Hi,

kennt jemand von euch Flashguard? Für eine Google-Suche ist dieses Wort zu gewöhnlich und seltsamerweise wurde das hier im Forum noch nie erwähnt. Denn diese und letzte Woche bin ich schon mehrfach über dieses Programm gestolpert.

Nach eine TXT-Datei, die ich auf einem Computer gefunden habe, nennt sich das Programm selbst "flash drive guard" und sorgt nach eigener Angabe dafür, dass sich Würmer über USB-Sticks nicht von PC zu PC verbreiten können.

Ist das jemand ein Begriff? Ich habe weder herausgefunden, wie diese Software auf die betroffenen Computer kommt, noch wie der Anbieter der Software heißt.

Das heißt, ich bin gerade äußerst skeptisch, ob nicht das Programm selbst der Wurm ist!?

Grüße,

Tankred

 

[biervernichter]

sieht es so aus?

http://www.davisr.com/cgi-bin/content/products/flashguard.htm

 

[Tankred]

Das Problem ist, ich habe das Programm noch nie gesehen. Es wird per RUN-Eintrag in HKLM aufgerufen und läuft völlig intransparent im Hintergrund. Auf einem angeschlossenen Stick legt das Programm eine Verzeichnisstruktur "System" > "Security" und darin eine Datei namens "DriveGuard.exe" an. Da diese Objekte als geschützte Systemdaten deklariert werden, sieht man sie für gewöhnlich auch nicht. Was kann das nur sein!?

 

[biervernichter]

A little detected "tool" is downloading and executing bots. A version of "driveguard.exe", with promises of cleaning up your system from infections and keeping it clean, is worming its way onto machines and downloading strains of Poison Ivy as "WinSecSys.exe", a bot capable of stealing screenshots, keystrokes, spreading to other machines, etc. We wrote about these "RAT" tools in previous posts and the characters behind them, some of whom are sentenced to prison terms now. TF detects it as a worm.

http://blog.threatfire.com/


http://virusinfo.prevx.com/pxparall.asp?PX5=4a70e2a1f29104041de804225b26d100ccc8c8dd


Also ehrlich gesagt, stehen sehr widersprüchliche sachen im Internet. Einerseits soll das Programm den Autostart von externen Medien deaktiveren, andererseit steht das es ein Virus ist.

Ich glaub das ganze ist ein Wurm bzw. Virus, da man doch kein Programm braucht um den Autostart zu deaktiveren. Würde die Dateien mal löschen und schauen, ob sie nach einen neustart wiederkommen.

 

[Tankred]

Also mich macht die ganze Sache auch irgendwie wuschig.

Momentan sieht es so aus:

- in C:\Programme\FlashGuard\ ist eine Datei namens FlashGuard.exe (versteckt) und eine TXT-Datei (nicht versteckt
- FlashGuard.exe wird beim Start über RUN in HKLM aufgerufen und legt die versteckten Verzeichnisse (s.o.) auf dem USB-Stick an
- In dem Verzeichnis liegt die Datei DriveGuard.exe, die meines Wissens aber nicht einmal aktiv ist

Sehr dubios das Ganze. Vor allem, weil mir dieser Quatsch oft über den Weg läuft, man aber nichts konsistentes darüber findet. Auch Jotti ist sich nicht sicher, drei der vielen Virenscanner (und dann auch noch recht unbekannte) meinen, das sei ein Trojan Downloader. Die anderen (darunter alle Marktführer) finden die Dateien unbedenklich.

Sowas habe ich echt noch nicht erlebt.

 

[biervernichter]

das ganze ist ziemlich suspekt..


warum wird eine versteckte Datei angelegt...hmm...


schick mal die datei an ein paar virenhersteller (Avira, Kaspersky, McAffee,...)


Mal sehen was dort die Techniker sagen


Also ich glaube nicht, dass das ein normales Programm ist, da ich noch nie etwas davon gehört habe und auch die sinnhaftigkeit solch eines tools auch nicht wirklich gegeben ist...


hatte noch nie den Fall, dass man nicht rausfindet, was eine Datei tut bzw. was das ganze ist...

 

[Tankred]

Jo, ich muss mir mal die Binaries ansehen. Aber das mach ich besser zuhause.

Ich befürchte halt, dass das Teil bei so manchem hier auf dem Rechner ist. Denn wie gesagt sieht man die Objekte erst, nachdem man "Geschützte Systemdateien" in den Ordneroptionen einblendet.