Thema: Avira Antivir ...

[SiLæncer]

Durch eine Sicherheitslücke in AntiVir PersonalEdition Classic der Firma Avira kann sich ein lokaler Anwender unter Umständen Administratorrechte verschaffen. Dies geht aus einem Posting von Ramon Kula auf der Security-Mailing-Liste Full-Disclosure hervor. Demnach starte der integrierte Planer, der beispielsweise die automatische Aktualisierung der Viren-Definitionen übernimmt, zur Kontrolle des Reports ein Notepad.exe mit Systemrechten. Mit diesem ist es dann auch Anwendern mit eingeschränkten Zugriffsrechten möglich, beliebige Systemdateien zu modifizieren, um sich beispielsweise Admin-Rechte zu verschaffen.

Nach Auskunft von Avira ist nicht nur die Classic-Version, sondern auch die Premium-Variante von dem Problem betroffen. Avira will im Laufe des Tages die aktualisierten Versionen sowohl über das automatische Update als auch im Download-Bereich freigeben. Laut Avira lässt sich anhand der Build-Nummer erkennen, ob die gefixte Version bereits eingespielt wurde. Diese lässt sich über das Hilfe-Menü unter dem Punkt "Über AntiVir ..." unter dem Eintrag "Versionsinformationen" abrufen. Build-Nummer 142 für die Classic- und 127 für die Premium-Version sollen das Problem beheben.

Quelle und Links : http://www.heise.de/security/news/meldung/70815

[SiLæncer]

Nach letzten Informationen des Herstellers verzögert sich das ursprünglich für heute geplante Update noch bis zum morgigen Mittag. Kukla und Avira stufen die Sicherheitslücke nicht als kritisch ein.

Quelle : www.heise.de

[SiLæncer]

Avira hat Änderungen an den Nameserver-Einträgen für die Update-Server der kostenlosen Personal Edition Classic des Virenscanners Antivir vorgenommen. Dadurch kommt es derzeit bei vielen Anwendern zu Problemen mit Signatur-Updates.

Die DNS-Änderungen traten am gestrigen Freitag in Aktion. Seit dem späten Freitagnachmittag kann es daher passieren, dass der Download von Updates mit Antivir Classic fehlschlägt. In einem Forenbeitrag erklärt ein Avira-Mitarbeiter jedoch, dass nach etwa 24 Stunden, also am heutigen Samstagnachmittag, die Server wieder erreichbar sein sollten. Das kostenpflichtige Antivir Premium sowie die Security-Suite nutzen andere Server für ihre Signatur-Updates und sind daher nicht betroffen.

Siehe dazu auch:

    * Classic Updateprobleme, Forum-Posting von Avira

Quelle und Links : http://www.heise.de/security/news/meldung/86169

[Jürgen]

Ach so, das erklärt natürlich, warum das Freitag nicht klappte und ein händischer Download anstand.

[SiLæncer]

Ein Signatur-Update vom heutigen Freitagvormittag von Avira sorgt dafür, dass die Antivirenprodukte des Herstellers die Systemdatei winlogon.exe von Windows XP mit SP2 als Schädling identifizieren. Das Signatur-Update von 7:46 Uhr brachte laut Andreas Marx von av-test.org die fehlerhafte Signatur mit, die winlogon.exe als TR/WLHack.A identifiziert.

In dem Signatur-Update von 9:49 Uhr hat Avira die fehlerhafte Signatur offenbar entfernt, die falsche Virenwarnung wird danach nicht mehr ausgelöst. Betroffene Anwender sollten daher ein manuelles Update ihrer Antivirensoftware veranlassen und gegebenenfalls die bereits in Quarantäne verschobene winlogon.exe wieder an ihren ursprünglichen Platz nach C:\Windows\System32\winlogon.exe verschieben.

Laut Marx handelt es sich nicht um den ersten Fehlalarm in dieser Woche. Bereits am Dienstag dieser Woche sorgte ein Signatur-Update dafür, dass die Avira-Scanner ausführbare Flash-Dateien fälschlicherweise als TR/PSW.QQSpy.AF erkannten. Erst am Mittwoch behob dann ein weiteres Update den Fehler.

Avira, bei denen die Telefone dauerbesetzt sind und auch das Support-Forum unter der Last des Besucheransturms nur schwer erreichbar ist, erklärte in einer Mitteilung, Avira AntiVir sei eine der besten Virenerkennungen am Markt, "manchmal sogar zu gut. Mit dem Update vom 29. März 2007 wurde der Virenscanner zu sensibel eingestellt und meldete winlogon.exe, ein wichtiger Bestanteil des Windows Betriebssystems, als Trojaner: TR/WLHack.A." Die Software sei umgehend aktualisiert worden.

Quelle : www.heise.de

[SiLæncer]

In vorgeblich von Microsoft stammenden Mails werden Links zu einem angeblichen Download des Internet Explorer 7 verbreitet. Diese Dateien enthalten jedoch keinen Browser sondern ein Trojanisches Pferd.

Spam-artig verbreitete Mails verbreiten seit gestern Links zu angeblichen Download-Seiten für den neuen Internet Explorer 7. Die Mails kommen mit einer gefälschten Absenderangabe wie "admin@microsoft.com" und einem Betreff wie "Internet Explorer 7 Downloads". Sie enthalten jede Menge Spam-typischen Textmüll, der nicht (oder lediglich in der Nur-Text-Ansicht) angezeigt wird sowie eine Referenz auf ein Bild im Internet.

Dieses Bild stellt zugleich auch einen Link zu dem Web-Server dar, von dem das Bild stammt. Es zeigt ein altes IE7-Beta-2-Logo. Der Link zeigt auf eine Datei "ie7.0.exe". Es gibt eine ganze Reihe unterschiedlicher Web-Server, auf denen diese Datei liegt (oder lag - einige sind inzwischen dicht) und die in Variationen der Spam-Mails verlinkt sind. Die Mails werden über dieselben Botnets verbreitet wie etliche Viagra-Spams. Die Web-Server sind mutmaßlich gehackte Websites.

Die EXE-Datei ist ein Trojanisches Pferd. Es kopiert sich als "winlogon.exe" in das TEMP-Verzeichnis und erstellt einen Run-Eintrag in der Registry, damit es beim Starten von Windows geladen wird. Es versteckt alle Dateien, die "winlogon.exe" heißen. Es installiert einen Spam-Proxy und verwandelt befallene PCs somit in Spam-Schleudern.

Quelle : www.pcwelt.de

[SiLæncer]

In den kürzlich von Avira veröffentlichten neuen Versionen ihrer Antivirensoftware hat sich ein Fehler eingeschlichen, durch den Anwender, die das Programm nicht in den vorgegebenen Standard-Pfad installieren, möglicherweise ohne Update-Funktion dastehen. Laut Avira tritt das Problem dann auf, wenn der Installationspfad länger als etwa 30 bis 40 Zeichen ist. Der Fehler sei bereits bekannt und werde in der kommenden Version behoben, die das Unternehmen Anfang Juni veröffentlichen will.

Allerdings erhalten betroffene Anwender das Update natürlich nicht automatisch. Wenn sich Anwender auf die Automatismen der Software verlassen und nicht selbst überprüfen, ob die Software aktuell ist, könnten sie derzeit mit einem nicht ausreichend geschützten Rechner im Netz unterwegs sein. Daher sollten Nutzer, die Antivir nicht in den vorgegebenen Pfad installiert haben, die Funktionsfähigkeit der Update-Mechanismen überprüfen und gegebenenfalls die Software in den Standard-Pfad installieren.

Quelle : www.heise.de

[SiLæncer]

Beim beliebten Virenscanner Antivir kann es zu Problemen mit der Aktualisierung des Programms kommen, wenn es nicht im vorgegebenen Installationspfad installiert worden ist.

Der Virenscanner Antivir von Avira macht Probleme bei der Online-Aktualisierung, wenn der Installationspfad zu lang ist. Sind dies mehr als 49 Zeichen, scheitert das Update-Programm und der Virenscanner wird nicht auf den neusten Stand gebracht. Das Problem wird schon seit einiger Zeit im Support-Forum von Antivir diskutiert.

Der vom Setup-Programm der kostenlosen Version von Antivir vorgeschlagene Installationspfad "C:\Programme\Antivir PersonalEdition Classic\" ist bereits 46 Zeichen lang, bei der Premium-Version ist es ähnlich. Wer Wert auf seine individuelle Systemkonfiguration legt und Antivir dabei in einem längeren Pfad installiert, kann eine Weile unbemerkt ohne aktuelle Updates da stehen. Das Problem wird vermutlich nur relativ wenige Antivir-Nutzer betreffen.

Wie Stefan Schiffert, Technischer Direktor bei Avira, gegenüber PC-WELT erklärte, ist die Ursache des Problems ein Programmierfehler, der sich an verschiedenen Stellen im Programm auswirken kann. Dadurch werden bei einem Pfad, der länger als 49 Zeichen ist, übergebene Parameter und gegebenenfalls auch ein Teil des Programmpfads abgeschnitten und der Aufruf des Update-Programms scheitert.

Notlösung: Manuelles Update oder Neuinstallation

Als Notlösung bietet sich, zumindest für Besitzer eines schnellen Internet-Anschlusses, das so genannte manuelle Update an. Dazu laden Sie vom Avira-Server die etwa 14 MB große Datei "ivdf_fusebundle_nt_en.zip" herunter und installieren sie über Update -> Manuelles Update im Hauptfenster von Antivir (alle Versionen). Das funktioniert auch, wenn Antivir in einem zu langen Pfad installiert ist.
 
Wirklich Abhilfe für die Betroffenen schafft erst die vollständige Deinstallation von Antivir mit anschließendem Neustart von Windows. Nutzer einer Premium-Version sollten vorher ihren Lizenzschlüssel sichern. Die Neuinstallation von Antivir sollte nur im vorgeschlagenen Verzeichnis erfolgen oder in einem kürzeren Pfad. Etwas anderes lässt das neue Setup-Programm auch nicht zu, das per Mail vom Avira-Support angefordert werden kann. Das benötigen Sie jedoch nur, wenn das Deinstallieren von Antivir über Systemsteuerung/Software nicht funktioniert. Dieser Fall tritt erst bei einer Pfadlänge weit jenseits von 100 Zeichen auf.

Voraussichtlich ab 14. Mai wird es neue Komplettpakete auf den Download-Servern geben. Neu darin ist nur das überarbeitete Setup-Programm, das keine längeren Installationspfade erlaubt. Der eigentliche Fehler wird erst mit der nächsten Antivir-Version beseitigt, die für September geplant ist. Da sich der Programmierfehler an mehreren Stellen im Programm auswirken kann, sind vor der Freigabe einer neuen Komplettversion stets umfangreiche Tests erforderlich.

Quelle : www.pcwelt.de

[SiLæncer]

Die weit verbreitete Antivirenlösung Antivir hat bei mehreren Anwendern für Verunsicherung gesorgt: Sie gibt beim Installieren des aktuellen DivX-Videocodecs eine Warnmeldung aus, der Installer enthielte den Trojaner TR/Dldr.3spyware. Bei der Warnung handelt es sich jedoch um einen Fehlalarm, der Rechner betroffener Anwender wurde von dem DivX-Installer nicht infiziert.

Offenbar haben die DivX-Entwickler kürzlich ein neues Download-Paket bereitgestellt, da die Signatur, die für den Fehlalarm sorgt, bereits am 29. Mai in die Avira-Signaturdatenbank eingepflegt wurde. Der Hersteller hat am gestrigen Mittwoch gegen 16:30 Uhr aktualisierte Signaturdatenbanken bereitgestellt, die die fehlerhafte Signatur korrigieren.

Fehlalarme von Virenscannern treten gelegentlich auf. So erkannte Antivir beispielsweise Ende März die zur Anmeldung an ein Windows-System notwendige winlogon.exe fälschlicherweise als Schädling. Wenn Anwender ihre Rechner dann bereinigten, konnten sie sich anschließend nicht mehr am System anmelden. Solche Vorfälle senken das Vertrauen von Nutzern in die Antivirensoftware. Mancher Anwender könnte deshalb ganz auf einen Virenscanner verzichten, wodurch er dann schutzlos den zahlreichen Angriffen ausgeliefert wäre, die etwa von kompromittierten Webseiten ausgehen.

Quelle : www.heise.de

[SiLæncer]

Ein von Avira seit kurzem verteiltes Update für die Kernkomponenten der Antivirensoftware sorgt auf einigen Systemen für Bluescreens. Die Suche nach der Ursache des Problems ist inzwischen abgeschlossen. Der Hersteller stellt auf Anfrage einen Hotfix bereit, der im Laufe des Tages auch per automatischem Update verteilt werden soll.

Der Fehler kann laut Thomas Salomon von Avira auftreten, wenn ein Rechner mit Nvidia-Chipsatz und Nforce-Treibern vom Juli dieses Jahres oder neueren Versionen ausgestattet ist. Unter Windows XP und Vista kann es dann bei aktivierter DEP, in deutschen Windows-Versionen Datenausführungsverhinderung genannt, zu einem Absturz mit Bluescreen kommen. Dem Support-Forum von Avira zufolge half betroffenen Anwendern bis jetzt lediglich das Deinstallieren des Anti-Rootkit-Moduls im abgesicherten Modus.

Mit den (älteren) Microsoft-Treibern tritt das Problem laut Salomon nicht auf. Daher können betroffene Anwender beispielsweise im abgesicherten Modus die älteren Treiber im Gerätemanager aktivieren. Anschließend sollten sie sich entweder den Hotfix besorgen oder das Update bei Verfügbarkeit einspielen. Danach sollten auch die neueren Chipsatztreiber keine Probleme mehr bereiten.

Quelle : www.heise.de

[Jürgen]

Wie bekannt, gibt's Aviras AntiVir PE seit Sommer '07 nicht mehr für Win98(SE) oder ME.
Bislang wurden vorhandene Installationen noch wie gewohnt automatisch mit Updates versorgt.

Das hat sich allerdings seit 1.1.2008 geändert.

Eine weitere automatische Lizenz-Verlängerung für die kostenlose Version gibt's nicht mehr.
Dadurch werden nun keine automatischen Updates der Viren-Datenbank mehr geliefert, Verweigerung wegen Lizenzablauf.
Auch ein 'geliehener' noch / schon bis August '08 gültiger Schlüssel z.B. von Win2000 SP4 vom selben Rechner hilft nur vorübergehend, bei'm nächsten Update wird er (nur für 9x) anschliessend auf 31.12.2007 zurückgesetzt.
Man könnte zwar auf die Idee kommen, etwas passendes in die Autoexec einzubauen, aber das wäre natürlich nur Gefrickel und ohnehin ein Lizenz-Verstoss.
Bleibt nur manueller Download der ivdf_fusebundle_9x_en.zip, solange / sofern es das noch aktuell gibt.

Also finito la musica unter 9x 

Leider betrifft das auch mehrere andere von mir betreute Rechner.
Muss wohl die Tage eifrig ausschwärmen...

[kater]

ich hab einen PC der unter 98 lief auf Grund der wenigen Alternativen auf win2k umgestellt. Wollte Antivir v.7 installieren und das Internetupdate umgehen. Also die 7er .exe von ner Heft CD installiert. Natürlich war die Lizenz abgelaufen und damit kein Update mehr möglich. Hab deshalb die hbedv.key meines ständig aktuellen zweiten Rechners rüberkopiert. Jetzt war die Lizenz auf Frühjahr 08 gesetzt. Gleichzeitig hab ich die .vdf Dateien kopiert um den Download der restlichen Dateien (Suchengine...) so klein wie möglich zu halten. Dann Download gestartet, ca 5 Mb.
Das eigenartige war, das anschliesend die Lizenz auf den 31. 12. 07 zurückgesetzt war.
Ich kann mich des Eindruckes nicht erwehren, daß es den Kostenloskunden recht schwer gemacht wird.
kater   

[Jürgen]

Dann hol' Dir einen aktuelle(re)n Installer, nutze ihn, solange er noch 'gilt'.
Für 9x gibt's den ja leider nicht mehr...

Wie auch immer, das Ganze ist mehr als seltsam.
Ernstzunehmende Anbieter leben von gewerblichen Kunden, die kostenlose Abgabe an Endverbraucher wird i.d.R. als Werbung betrachtet, auch und gerade für die beliebten Suiten.

[SiLæncer]

Der Antivirenhersteller Avira hat eine Schwachstelle in allen Antivir-Produkten beseitigt, die bei der Verarbeitung präparierter RAR-Archive zum Absturz des Unpacker-Moduls führen konnte. Ursache des Problem war ein Division-durch-Null-Fehler im Unpacker-Modul. Unter seltenen Umständen soll dies auch zu einer Null-Pointer-Dereference geführt haben, von der man jedoch nicht glaubt, dass sie sich zum Einschleusen und Ausführen von Code eigne. Ein am vergangenen Freitag verteiltes automatisches Update soll das Problem ohnehin bereits gelöst haben.

Darüber hinaus berichtet der Sicherheitsspezialist Thierry Zoller von der Möglichkeit, einen Fehler im Avira-Scheduler (sched.exe) auszunutzen, um an System-Rechte auf einem PC zu gelangen. Ursache soll ein unsichere Aufruf der Windows-Funktion CreateProcess() sein. Nach Angaben von Zoller will Avira den Fehler im nächsten Emergency Update (EU2) beheben.

Sieh dazu auch:

    * Avira Antivir - RAR Parser Denial of Service, Fehlerbericht von Thierry Zoller
    * Avira Antivir - Priviledge escalation, Fehlerbericht von Thierry Zoller

Quelle : http://www.heise.de/newsticker/Schwachstelle-in-Avira-geschlossen--/meldung/121815

[SiLæncer]

Zoller macht unterschiedliche Angaben darüber, ob Avira das Problem behoben hat. So schreibt er in seinem Bericht an Bugtraq, dass die Lücke seit dem 24.10.2008 beseitigt sei, während diese Angabe im Advisory auf seiner Webseite fehlt. Dort schreibt er, dass Avira den Fehler im nächsten Emergency Update (EU2) beheben will.

Quelle : www.heise.de