Trojaner-Meldung bei Chessbase Produkten

Seit geraumer Zeit sind Anwender von Chessbase Produkten in Sorge um ihre Daten. Immer öfter erreichen mich Meldungen von Benutzern der Fritz-Software, dass diverse Antiviren-Programme bei dem Versuch einer Fritz-Installation Alarm schlagen und auf das Virus (Trojan Horse /Crypt.ZPACK.xxx) hinweisen und die Installation der verweigern.

Chessbase Virus

Chessbase teilte auf eine Anfrage mit, dass diese Meldung seit 16 Monaten bekannt sei, dies aber kein Virus ist, sondern deren Software. Die Virenmeldung würde nach ein paar Updates des Antivirenprogramms von selbst verschwinden.

Für den normalen Anwender ist das eine recht unbefriedigende Antwort, die viel Raum für Spekulationen lässt. Wir vom Team Topschach haben uns die Installationsdatei Setup.exe mal genauer angeschaut. Das dieses Virus bei der Produktion der DVDs im „Presswerk“ auf die Datenträger geschmuggelt haben könnte, kann man ausschließen. Das Virus wäre in diesem Fall nicht in der Datei Setup.exe zu finden, sondern als separate Datei in der Verzeichnisstruktur. Eine zunächst nahe liegende Erklärung könnte auch sein, dass sich beim Erstellen der Installationsdatei bei den Chessbase-Entwicklern dieses Virus mit in die Setup.exe eingeschlichen hat. Da bei Chessbase allerdings routinierte Entwickler arbeiten, schien uns diese Erklärung relativ unwahrscheinlich.

Wir haben also die Setup.exe auseinander genommen und sind zu folgendem Ergebnis gekommen:

Wie alle Software-Unternehmen, versucht auch Chessbase seine Entwicklungen zu schützen. Eine gängige Lösung ist es, die einzelnen Programm-Abläufe Daten mit der Funktion eines „Obfuscator“ zu verschleiern. Damit soll unter anderem verhindert werden, dass ein Dritter (Konkurrent, etc.) Einsicht erhält, wie das Programm genau funktioniert. Und genau das ist der entscheidende Punkt! Autoren von Viren verwenden diese Art des Verschleierns ebenfalls, um Antiviren-Programmen keinen Einblick in die Funktionen des Virus zu geben.

Aber wieso melden verschiedene Antiviren-Programme trotzdem ein Virus bei den Chessbase Produkten? Auch hier ist die Antwort relativ einfach. Schutzsoftware wie beispielsweise von AVIRA prüfen vor der Ausführung von Dateien, ob diese schädliche Funktionen beinhalten. Bei einer durch einen „Obfuscator“ verschleierten Datei, können Antiviren-Programme aber nicht auf die Funktions-Struktur der Datei zugreifen. Die Schutzsoftware erkennt aber, dass die Datei obfuscated (verschleiert) ist und prüft nun, welcher „Obfuscator“ verwendet wurde. Falls nun der selbe „Obfuscator“verwendet wurde, den Autoren von bestimmten Viren verwenden, schlägt das Antiviren-Programm Alarm.

Nun könnte man zwar sagen, dass es sich hierbei um eine „False/Positive-Meldung“ handelt, aber so einfach ist die Sache nicht. Wenn man die Software von Chessbase genau unter die Lupe nimmt, werden speziell die Funktionen verschleiert, die eine Kommunikation mit Servern von Chessbase beinhalten. Ein Laie würde jetzt sagen, dass das doch eine gute Sache ist, wenn die Kommunikation „verschlüsselt“ abläuft. Aber das ist ein Denkfehler. Es ist grundsätzlich sinnvoll, den Datenaustausch zwischen der Chessbase-Software und den Servern zu verschlüsseln und Chessbase macht dies auch. Aber warum verschleiert Chessbase die Funktionen, die für den Datenaustausch zuständig sind? Wenn es sich um rechtlich unbedenkliche Funktionen handelt, müsste man diese nicht Verschlüsseln.

Auch hier haben wir eine mögliche Antwort gefunden. Chessbase setzt unter anderem beim Online-Spielen verschiedene Praktiken zur Erkennung von Cheatern ein. Hierbei kann die Chessbase-Software auf Teile der Umgebung des Anwenders zugreifen. Chessbase verschleiert, um welche Teile der Umgebung es sich handelt. Es kann also gut möglich sein, dass ein Anwender beim Einsatz von Chessbase-Produkten viel mehr „private“ Daten an die Chessbase-Server weitergibt, als sich der Anwender bewusst ist.

Also doch ein Trojaner?

Aktuell haben es sich einige Schachfreunde zur Aufgabe gemacht, mittels eines „Deobfuscators“ Einblick in die verschleierten Funktionen der Chessbase-Produkte zu bekommen. Ein Ergebnis steht noch aus.

Fortsetzung folgt….. 🙂

Euer Topschach Benny

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.