Virus oder Trojaner in PokerOffice?

trojaner-virus-pokeroffice-banner

Update: Anscheinend wurden die Virusdefinitionen jetzt angepasst. Die Datei wird z.Z. nicht mehr als Virus erkannt.

PokerOffice ist ein international sehr häufig genutztes Programm zur Analyse von online gespielten Pokerhänden.

Seit einiger Zeit häufen sich die Meldungen, das Programm sei “von Haus aus” mit einem trojanischem Pferd versehen. Da erst kürzlich über die Sicherheit beim Online-Pokerspiel auf Bankroll.de berichtet wurde, möchte ich auf diesen Fall etwas detaillierter eingehen.

Was wäre wenn?

Wer PokerOffice kennt, wird das Ausmaß die Gefahr, welche einem Trojaner ausgehen kann, schnell begreifen:
Die Poker Office Software protokolliert und analysiert jede Hand während des Spiels. Das Trojanische Pferd könnte in dem Fall jede Hole Card ins Internet senden.
Der Empfänger dieser Information könnte den Spieler dann regelrecht ausnehmen.

Programmdownload und Viruswarnung

Schon beim Abschluss des Downloads der aktuellen PokerOffice Software auf der Herstellerseite gibt das Antivirenprogramm avast eine Warnmeldung aus

Virus Trojaner Pokeroffice

Die Datei fthimp.dll sei mit einem Trojaner versehen. Ein nicht so Computer-affiner Mensch, muss dieser Information wohl oder übel glauben schenken und auf das eventuell teuer bezahlte Programm verzichten.

Auf der Seite virustotal können Dateien eingesendet und von zahlreichen Antivirus-Programmen überprüft werden. Die Analyse der von mir geladenen Installationsdatei hat ergeben, dass zwei Virenprogramme avast und GData ein trojanisches Pferd erkennen. Der Scan mit Details kann hier eingesehen werden.

Höchstwahrscheinlich false positive

False positiv (falsch postiv) bedeutet, dass ein Virus angezeigt wird, aber keine Bedrohung darstellt. Da nur zwei Antivirenprogramme einen Virus anzeigen, ist die Wahrscheinlichkeit relativ hoch, dass es sich um keine wirkliche Bedrohung handelt.

War da nicht schon mal was? Gibt es eine Stellungnahme?

Nicht zum ersten Mal berichten PokerOffice Benutzer über eine Virenwarnung. Damals war es die Datei ppthandler3.dll. Auch hier ging es um die Anzeige beim Virenscanner avast.

Die Antwort des Supports, auf die Hinweise der Anwender, lautete wie folgt

There are basically two possible scenarios here:

1) There was a false positive in the Avast, i.e. it incorrectly determined that the file was a trojan.

2) The file was infected by a trojan on our release server when we compiled the patch, and hence there was a trojan in the file (not very likely though). We have since then reformatted the release server and released v2.18. The server is protected by a hardware and software firewall as well as Antivirus protection so it really should be safe.

Quelle

frei übersetzt:

Es gibt grundsätzlich zwei Möglichkeiten

1) Es handelt sich um eine false positive Erkennung in avast Antivirus

2) Die Datei wurde auf unserem Release-Server infiziert, als wir den Patch kompiliert haben und deswegen enthielt die Datei einen Trojaner (nicht sehr wahrscheinlich). Seitdem haben wir den Release-Server formatiert und v2.18 veröffentlicht. Der Server ist durch eine Hardware- und Softwarefirewall sowie Antivirensoftware geschützt, also müsste es wirklich sicher sein.

 

Das bedeutet, die Entwickler räumten damals zumindest die Möglichkeit ein, dass der Trojaner auch bei ihnen Datei infiziert haben könnte.

Auch die neue Trojanermeldung der Datei fthimp.dll wurde bereits im Support-Forum besprochen.

fthimp.dll is our old Full Tilt tracking file, so it’s no problem removing it and/or blocking it. Please note that it is a false positive though.

Quelle

frei übersetzt:

fthimp.dll ist unsere alte Full Tilt tracking Datei; es ist kein Problem sie zu entfernen oder zu blocken. Bitte beachte(t), dass es sich um eine false positive handelt

auf die Frage, warum die Antivirensoftware die falsche Warnung nicht entfernt, antwortete der Support

Our developers have unfortunately not yet been able to remake the file in a way McAfee is happy with.

Quelle

frei übersetzt

Leider waren unsere Entwickler noch nicht in der Lage McAfee durch eine Neuauflage der Datei zu überzeugen

Was nun?

Auch wenn man PokerOffice ohne die Datei fthimp.dll ganz normal nutzen kann, ist es schon merkwürdig, dass bisher mindestens zwei false positive Meldungen in Bezug auf diese Software aufgetaucht sind.

Da ein Großteil der PokerOffice Anwender online um Echtgeld spielt, wäre das Infizieren des Programms durch einen Trojaner für kriminelle Organisationen quasi eine Lizenz zum Geld drucken.

Garantieren kann ich es nicht, doch die beiden bisherigen, angeblich infizierten Dateien, sind höchstwahrscheinlich keine Bedrohung; generell sollte man aber sehr gut aufpassen, welche Programme man installiert. Die Installation eines Antivirenprogramms mit aktuellen Definitionen ist meiner Meinung nach Pflicht!

categories Poker und Psychologie | Markus | datetime 30. Oktober 2008 18:07

  • Stefan

    Hallo Markus,

    verwende antivir als Virenprogramm. Bei mir taucht die Warnung nur in Vista auf auf meinen xp-Rechnern mit gleicher Installation hab ich das nicht.

    Danke für dein ENgagement.

    Stefan

  • Stefan

    Hallo Markus,

    verwende antivir als Virenprogramm. Bei mir taucht die Warnung nur in Vista auf auf meinen xp-Rechnern mit gleicher Installation hab ich das nicht.

    Danke für dein ENgagement.

    Stefan

  • Markus

    Hi Stefan,

    Danke für deinen Kommentar und den Hinweis. Avast hat mittlerweile durch die neuen Virendefinitionen die Installtionsdatei nicht mehr als Gefahr eingestuft.

    Wünsche noch einen schönen Tag!

    Markus

  • Markus

    Hi Stefan,

    Danke für deinen Kommentar und den Hinweis. Avast hat mittlerweile durch die neuen Virendefinitionen die Installtionsdatei nicht mehr als Gefahr eingestuft.

    Wünsche noch einen schönen Tag!

    Markus

blog comments powered by Disqus

WordPress Theme Design