Kaspersky
Solved

HEUR:Trojan.Script.Generic: Detected in old CloneApp Backup Files. Falsch positive Meldung? False positive warning?

  • 17 February 2021
  • 6 replies
  • 142 views

HEUR:Trojan.Script.Generic wurde heute von Kaspersky Secourity Cloud free auf meinem PC in 2 mehr als ein Jahr alten CloneApp Backup-Dateien festgestellt. Handelt es sich um eine falsch positive Meldung?

Merkwürdig: a) Gestern verschwand ein Desktop Icon oben links in der Ecke - keine Ahnung warum. KSC meldete aber noch nichts. b) KSC speichert den Bericht der Untersuchung nicht, egal welches Verzeichnis, welche Partition und welchen Dateityp man auswählt. 

 

HEUR:Trojan.Script.Generic was detected by KSC in 2 more than one year old CloneApp Backup Files today on my PC. Is it a false positive warning? 

Remarkable: 1.) Yesterday a desktop icon disappeared at the upper left corner - I don´t know why. KSC didn´t detect anything at that point of time.

2.) KSC doesn´t save the report of the total examination (It doesn´t matter which partition, directory or type I choose.)

 

System data:

Windows 7 Pro x64 Service Pack 1 Build 7601, Opera: the Version before 74.0.3911.139, Google Chrome: the Version before 88.0.4324.182, Kaspersky Security Cloud free 21.2.16.590 (b) (vormals/before: Kaspersky free) , CloneApp 2.11.444

 

Ist das Problem bekannt?

Is the problem already known?

 

 

icon

Best answer by Schulte 18 February 2021, 11:28

Hallo @Frasier777,

wenn Du die Erweiterung nicht mehr nutzt, kannst Du die Dateien natürlich löchen.

Von einem FP möchte ich aber nicht gleich reden.
OkayFreedom  scheint in jede aufgerufene Webseite ein Script zu injizieren, das den Datenstrom analysiert und eventuell Inhalte/Links ändert.
Damit kann man auch viel Unheil anrichten, z. B. Werbung einblenden oder Daten abziehen.

Ich möchte OkayFreedom nichts unterstellen, aber in letzter Zeit gab es immer wieder Berichte, dass beliebte Erweiterungen nach einem Besitzerwechsel plötzlich ihr Verhalten ändern und fortan schädlich sind.

Du kannst das Script gerne prüfen lassen: https://opentip.kaspersky.com/

 

View original

6 replies

Info about/über CloneApp: 

https://www.chip.de/downloads/CloneApp_79650194.html

Der Bericht von KSC konnte nach Neustart jetzt unter Dokumente abgespeichert werden. (In anderen Verzeichnissen nicht!)

KSC report could now be saved in the directory documents (Not anywhere else1)

 

Report contents:

Heute, 17.02.2021 17:06:28    K:\CloneApp444_extrahiert\cloneapp\Backup\Google Chrome\$LocalAppData$\Google\Chrome\User Data\User Data\Default\Extensions\hfnbbbkabnehoejfhcbbhdicagcoobji\1.6.0_0\injection.js    Gefunden    Schädliches Objekt wurde gefunden.    HEUR:Trojan.Script.Generic    Experten-Analyse    Datei    K:\CloneApp444_extrahiert\cloneapp\Backup\Google Chrome\$LocalAppData$\Google\Chrome\User Data\User Data\Default\Extensions\hfnbbbkabnehoejfhcbbhdicagcoobji\1.6.0_0    injection.js    Gefunden    Trojaner    Hoch    Heuristische Analyse    xxxxxxxx\Admin    Aktiver Benutzer

 

Heute, 17.02.2021 17:08:57    K:\CloneApp444_extrahiert\cloneapp\Backup\Opera\%AppData%\Opera Software\Opera Stable\Opera Stable\Extensions\hfnbbbkabnehoejfhcbbhdicagcoobji\1.6.0_0\injection.js    Gefunden    Schädliches Objekt wurde gefunden.    HEUR:Trojan.Script.Generic    Experten-Analyse    Datei    K:\CloneApp444_extrahiert\cloneapp\Backup\Opera\%AppData%\Opera Software\Opera Stable\Opera Stable\Extensions\hfnbbbkabnehoejfhcbbhdicagcoobji\1.6.0_0    injection.js    Gefunden    Trojaner    Hoch    Heuristische Analyse   xxxxxxxx\Admin    Aktiver Benutzer
 

 

Userlevel 7
Badge +7

Hallo @Frasier777, willkommen im Forum.

CloneApp hat eine Sicherung Deiner Browsereinstellungen erstellt.
Die Funde betreffen nicht CloneApp, sondern eine Erweiterung die Du sowohl in Chrome als auch in Opera installiert hattest.

“hfnbbbkabnehoejfhcbbhdicagcoobji“ deutet auf “OkayFreedom” hin. War oder ist das installiert?
Die Erweiterung benutzt ein JavaScript, dass Deiner KSC nicht gefällt. Ob zurecht oder zuunrecht kann daraus leider nicht abgeleitet werden.

Hallo Schulte, 

danke für die schnelle Aufklärung und den lieben Empfang.

Okayfreedom 1.4.3 Rev 11225 vom 05.11.2019 war tatsächlich vom Dez. 2019 bis etwa April 2020 installiert und ist dann vollständig deinstalliert worden. CloneApp hat die Browsererweiterungseinstellungen bzw. Javascript-Dateien aber in seinen Backup-Dateien belassen für den Fall, dass man das Programm noch einmal installieren sollte und darauf zurückgreifen will. Im Herbst 2020 wurde Kaspersky free vom Nachfolger KSC abgelöst. Gestern hat sich KSC nun erstmals an den beiden Javascript-Dateien gestört. 

Zwei Javascript-Dateien, die nicht auf der Systempartition liegen in zwei verschiedenen Verzeichnissen, die von CloneApp einst nahezu zeitgleich während eines Backups erstellt wurden, werden Monate später fast zeitgleich von KSC gefressen. Malwarebytes Antimalware und adwcleaner, die ohne Echtzeitschutz zeitgleich mit der vollständigen Untersuchung von KSC liefen, bissen beide nicht an. Sieht m.E. nach einem false-positive Alarm aus, denn wie soll ein Trojaner exakt diese Konstellationen hervorrufen. 

Gab es denn am 17.02.2021 im Tagesverlauf Änderungen an KSC free, die einen solchen falsch-positiven Befund erklären könnten? 

Die setupwrapper-Datei von Okayfreedom könnte ich zur näheren Untersuchung gerne einreichen. Es handelt sich um eine abgelaufene 1-Jahresversion, so dass Steganos vielleicht helfen müsste, falls sie nicht startet. Wäre aber ja vermutlich in Steganos Interesse, das zu klären und ggf. zu beheben.

Dann kann ich die beiden Quarantäne-Dateien wohl löschen, oder?

 

(P.S.: KSC free setzt übrigens die Tastenbelegungen von Hardcopy 2018.08.03 außer Kraft, wenn das KSC-Fenster aktiv ist; einem Screenshot-Programm, das von Lehrern gerne verwendet wird. Man kann sich dann aber noch mit Windows Bordmitteln behelfen.)

Userlevel 7
Badge +7

Hallo @Frasier777,

wenn Du die Erweiterung nicht mehr nutzt, kannst Du die Dateien natürlich löchen.

Von einem FP möchte ich aber nicht gleich reden.
OkayFreedom  scheint in jede aufgerufene Webseite ein Script zu injizieren, das den Datenstrom analysiert und eventuell Inhalte/Links ändert.
Damit kann man auch viel Unheil anrichten, z. B. Werbung einblenden oder Daten abziehen.

Ich möchte OkayFreedom nichts unterstellen, aber in letzter Zeit gab es immer wieder Berichte, dass beliebte Erweiterungen nach einem Besitzerwechsel plötzlich ihr Verhalten ändern und fortan schädlich sind.

Du kannst das Script gerne prüfen lassen: https://opentip.kaspersky.com/

 

Hallo Schulte,

vielen Dank für Deine hilfreichen Ausführungen.

Mit false positive meinte ich auch nur, dass es sich bei der von KSC detectierten Javascript-Datei injection.js um die Origninaldatei von Steganos okayfreedom handelt und nicht etwa um eine Datei, die von einem Trojanervirus irgendeines Hackers infiziert wurde, nachdem okayfreedom auf meinem PC installiert war. Ich kann also davon ausgehen, dass sich vielmehr in den Heuristiken der Erkennungsalgorithmen von KSC am Tag des Alarms irgendetwas verändert hat, das dann erstmals nach über einem Jahr zu dem Zugriff auf die Datei und Verfrachten in die Quaratäne geführt hat. Das war vorliegend für mein persönliches Sicherheitsgefühl ja das relevante.

okayfreedom werde ich voraussichtlich künftig nicht nutzen. Ich habe mich für einen anderen Dienstleister entschieden. Daher ja seinerzeit die Deinstallation. Sogesehen hat KSC vorliegend die damalige Deinstallation nun einfach mal frech auf die Backup-Dateien von CloneApp erweitert. Und nachdem mein Pulsschlag sich inzwischen wieder normalisiert hat und ich mich heute ausgiebig ausgeschlafen und erholt habe, kann ich darüber entspannt lächeln. :-) Leider ist so etwas immer etwas zeitaufwendig, bis man weiß, was los ist, aber man lernt ja auch viel hinzu dadurch. Ich hoffe, wenn ich mal alt und grau bin und soviel Spannung und Aufregung nicht mehr vertrage, wird Kaspersky Labs alle Viren und Trojaner besiegt und beseitigt haben.

 

Das Javascript injection.js und die setupwrapper-exe-Datei von okayfreedom habe ich prüfen lassen.

 

File Analysis report of injection.js: 

https://opentip.kaspersky.com/CE7ED28F02647EC0CF6CE853A0026AA9F1F8764DE2C3ADF04ABCF742633BA5DA/

 

File Analysis report of okayfreedomwr.exe:

https://opentip.kaspersky.com/ED2621D26B2EF57BEEE67A40D65469C15E35B2D17FD4360F5A4C25D4E6997E14/

  

Bei den 30 festgestellten sog. suspicous activities scheint es sich um Registry- und Pfadnamensänderungen sowie Änderungen von Zeitattributen und mehrere Wildcard-Suchen im Rahmen des Installationsprozesses von okayfreedom zu handeln, was man dem zweiten Bericht entnehmen kann, wenn man angemeldet ist. Inwieweit jemand damit Schindluder treiben könnte, wenn er wollte, vermag ich nicht zu beurteilen. Ebenso wenig, ob das eine oder andere davon bei der Installation einer VPN-Software nicht vielleicht auch notwendig oder zumindest hilfreich sein mag. Vielleicht liegt dies auch daran, dass ich die Premium Contents nicht nutzen kann. Ich vermute aber eher am mangelnden Fachwissen. Sofern damit Schindluder betrieben werden kann, macht es natürlich auch Sinn, dass eine Security-Software wie KSC davor warnt und ihre heuristischen Erkennungsalgorhythmen dann anschlagen. 

In der Tat sollte man sich vor Auswahl eines VPN-Dienstleisters verschiedene (!) Testberichte anschauen, bevor man sich entscheidet. Es gibt da vieles zu Bedenken, und nicht alle Testberichte berichten umfassend genug. Manches merkt man auch erst beim Ausprobieren. Insofern sollte man zumindest keine längere Vertragsbindung eingehen, wenn man noch keine Erfahrungen mit einem Anbieter gesammelt hat. 

 

Ich bedanke mich ganz herzlich für Deine tolle Unterstützung, Schulte. Hat mir sehr geholfen und gut gefallen! 

 

 

 

 

 

Reply