AdobeR.exe - sieht aus wie ein Virus mit Python-Code...

Alles, was nicht direkt mit Python-Problemen zu tun hat. Dies ist auch der perfekte Platz für Jobangebote.
Antworten
merlin_emrys
User
Beiträge: 110
Registriert: Freitag 3. März 2006, 09:47

Dienstag 8. Mai 2007, 09:42

Hi @all,

hat jemand unter Euch nähere Kenntnisse von oder Informationen zu "AdobeR.exe"? Es ist vermutlich ein Wurm oder Virus, der sich gerade auf den Rechnern meiner Familie einnistet. Quelle ist ein USB-Stick, auf dem er vermutlich schon beim Kauf vorhanden war (ich recherchiere noch). Der Name hat mich - ich nehme an, wie vorgesehen - zuerst auf eine falsche Spur geschickt, bis ich den entsprechenden Stick gestern an meinen eigenen Rechner gestöpselt habe und seither die familiäre Fehlermeldung "Error occured - see C:/Windows/AdobeR.exe.log for details" bei jedem Bootprozesszu sehen bekomme. Ich war schon überrascht, eine Meldung meiner Firewall zu bekommen, als der Stick geöffnet wurde; ich habe im ersten Anlauf den Zugriff auf die "trusted zone" verwehrt und konnte daraufhin die Daten auf dem Stick nicht sehen. Die Erlaubnis zu geben, war dann aber offenbar doch eine dumme Idee... (Gut, mein eigenere Rechner hängt gerade nicht am Netz, und es war zumindest lehrreich :-) ).

Adobe.exe.log enthält dann folgenden Text:
Traceback (most recent call last):
File "AdobeR.py", line 1, in ?
File "zipextimporter.pyo", line 78, in load_module
File "twisted\internet\reactor.pyo", line 12, in ?
File "twisted\internet\selectreactor.pyo", line 182, in install
File "twisted\internet\posixbase.pyo", line 168, in __init__
File "twisted\internet\base.pyo", line 268, in __init__
File "twisted\internet\base.pyo", line 568, in _initThreads
File "twisted\internet\posixbase.pyo", line 265, in installWaker
File "twisted\internet\posixbase.pyo", line 78, in __init__
File "<string>", line 1, in connect
socket.error: (10061, 'Connection refused')
Das sah mit verdächtig nach Python aus, deshalb die Fage in diesem Forum :-) .

Das Programm legt offenbar diverse Einträge in der Registry an (ich habe auf meinem Rechner mindestens sechs gefunden). Ich bin jetzt gerade etwas unsicher, wie ich weiter verfahren soll - alle Registry-Einträge und "twisted/internet" löschen, den Stick formatieren und hoffen, daß nichts weiter passiert?
Die betroffenen Systeme komplett neu zu installieren, ist schon auch möglich, nur etwas zeitaufwendiger, weil ich dann erst alle Benutzerdaten (Passworte und dergleichen) sammeln muss, und das ist heutzutage ja schon ein Haufen Kram...
Benutzeravatar
jens
Moderator
Beiträge: 8461
Registriert: Dienstag 10. August 2004, 09:40
Wohnort: duisburg
Kontaktdaten:

Dienstag 8. Mai 2007, 09:47

Es sieht wirklich wie ein normaler Python Traceback aus ;) Somit muß es eigentlich mit py2exe, PyInstaller o.ä. gemacht worden sein. Du solltest an die Sourcen rankommen, um zu sehen, was es macht...

Es gibt dazu auch was im Netz:
http://www.google.de/search?q=AdobeR.exe

Schick es doch mal in ein paar online-Scanner... URL hier:
http://www.heise.de/security/dienste/an ... inks.shtml

CMS in Python: http://www.pylucid.org
GitHub | Open HUB | Xing | Linked in
Bitcoins to: 1JEgSQepxGjdprNedC9tXQWLpS424AL8cd
N317V
User
Beiträge: 504
Registriert: Freitag 8. April 2005, 13:23
Wohnort: München

Dienstag 8. Mai 2007, 09:59

Es gibt für alles eine rationale Erklärung.
Außerdem gibt es eine irrationale.

Wie man Fragen richtig stellt
merlin_emrys
User
Beiträge: 110
Registriert: Freitag 3. März 2006, 09:47

Dienstag 8. Mai 2007, 10:06

jens hat geschrieben:Es sieht wirklich wie ein normaler Python Traceback aus ;) Somit muß es eigentlich mit py2exe, PyInstaller o.ä. gemacht worden sein. Du solltest an die Sourcen rankommen, um zu sehen, was es macht...
Sollte ich ... mit den nötigen Kenntnissen, von denen bisher mehr oder minder nichts vorhanden ist. Kann eins der beiden Programme auch den umgekehrten Prozess ausführen, also "exe2py" sozusagen?
jens hat geschrieben: Es gibt dazu auch was im Netz:
http://www.google.de/search?q=AdobeR.exe
Okay, google findet mehr als Metager - aber auch eher wenig in einer Sprache, die ich beherrsche :-o . Aber der Link von N317V verrät eigentlich auch alles, was ich wissen wollte.
jens hat geschrieben:Schick es doch mal in ein paar online-Scanner... URL hier:
http://www.heise.de/security/dienste/an ... inks.shtml
Wird auch noch gemacht, danke für den Link - und Euch beiden für die schnelle Reaktion :-) !
Leonidas
Administrator
Beiträge: 16024
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Dienstag 8. Mai 2007, 17:56

merlin_emrys hat geschrieben:Sollte ich ... mit den nötigen Kenntnissen, von denen bisher mehr oder minder nichts vorhanden ist. Kann eins der beiden Programme auch den umgekehrten Prozess ausführen, also "exe2py" sozusagen?
Nein - automatisiert wüsste ich jetzt nichts. Aber möglich ist es dennoch, nur eben nicht ganz so banal.

P.S.: Ich glaube, das wäre nun der erste Python-Virus. An sich ein denkwürdiger Moment.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
merlin_emrys
User
Beiträge: 110
Registriert: Freitag 3. März 2006, 09:47

Dienstag 8. Mai 2007, 20:45

Leonidas hat geschrieben: Nein - automatisiert wüsste ich jetzt nichts. Aber möglich ist es dennoch, nur eben nicht ganz so banal.
Dann werde ich vermutlich scheitern - obwohl es mich ja schon interessieren würde... (Falls jemand den Versuch machen möchte - ich habe die Datei noch "in Quarantäne" auf einem Rechner, könnte sie also zur Verfügung stellen.. ;-) )
Leonidas hat geschrieben:P.S.: Ich glaube, das wäre nun der erste Python-Virus. An sich ein denkwürdiger Moment.
Jep, finde ich doch auch... Ein bisschen hin- und hergerissen, allerdings. Immerhin habe ich die drei befallenen Rechner und den Speicherstick inzwischen wieder "wurmfrei", soweit ich sehe.

Danke nochmal für alle Hilfe!
Antworten