eric cartman 8 Report post Posted February 4, 2019 Moin! Immer wenn ich TeamViewerQS (aktuelle Version 14.1.3399.0) beende, kommt diese Meldung: Download Image Ich habe da jetzt mal eine Regel erstellt, dies zu blockieren. Aber kann mir jemand sagen, was da vor sich geht? Ist TeamViewerQS schuld oder ist das ein Fehlalarm? SHA-1: 9AF995D1D355E101E8C97295D2E7FDFB1E00F987 Quote Share this post Link to post Share on other sites
Thomas Ott 68 Report post Posted February 5, 2019 Hallo Eric Cartman, vielen Dank für den Hinweis. Ich habe bereits meine Kollegen informiert. In der Tat eine Falschmeldung; wir haben diese behoben und die Änderung wird mit dem nächsten Update veröffentlicht. Danke für die Unterstützung. Ich wünsche einen schönen Tag! 1 Quote Share this post Link to post Share on other sites
eric cartman 8 Report post Posted April 28, 2019 Mit der aktuellen Version 14.2.8352.0 von TeamViewerQS bekomme ich die selbe Meldung wieder. 29.04.2019 00:11:09 Verhaltensanalyse-Fund: verdächtiges verhalten "CodeInjector" von C:\Users\xxx\AppData\Local\Temp\TeamViewer\7.hta (SHA1: 1AEE43CF6AC9FABD44639E307AB095FA132B9B82) 29.04.2019 00:11:10 Eine Benachrichtigung "In den folgenden Programmen wurde ein verdächtiges Verhalten erkannt: C:\Users\xxx\AppData\Local\Temp\TeamViewer\7.hta" wurde angezeigt 29.04.2019 00:11:13 Warnhinweis "C:\Users\xxx\AppData\Local\Temp\TeamViewer\7.hta Programm versucht, aktive Programme zu manipulieren" wurde angezeigt 29.04.2019 00:11:57 Benutzer "xxx" hat geklickt auf "Einmal erlauben" Quote Share this post Link to post Share on other sites
Thomas Ott 68 Report post Posted April 30, 2019 Hallo eric cartman, vielen Dank für deine Nachricht. Ich gebe meinen Kollegen gerne Bescheid damit man sich die Sache genauer ansehen und den Fehlalarm beheben kann. Eine Übermittlung ist auch jederzeit über [email protected] möglich. Für weitere Fragen stehe ich gerne zur Verfügung. Quote Share this post Link to post Share on other sites
brain_ticket 5 Report post Posted May 30, 2019 Ist ja nun schon einige Wochen her aber hoffentlich hat das nichts miteinander zu tun: https://www.bleepingcomputer.com/news/security/teamviewer-confirms-undisclosed-breach-from-2016/ https://www.borncity.com/blog/2019/05/18/cyber-angriff-auf-teamviewer-chinesen-im-verdacht/ Quote Share this post Link to post Share on other sites
Thomas Ott 68 Report post Posted May 31, 2019 Hallo brain_ticket, vielen Dank für deine Nachricht. Die Datei wurde damals von meinen Kollegen überprüft bevor der Fehlalarm berichtigt wurde. Die Komponente wird von TeamViewer scheinbar dazu verwendet um Werbeanzeigen einzublenden und war (wie lieder so oft) nicht digital signiert; das führte dann zu dem Alarm der Verhaltensanalyse. Wenn die Datei tatsächlich kompromitiert ist und es sich um keinen Fehlalarm handelt dann wird oftmals versucht mit der kompromitierten 7.hta Datei Werbung im eigenen kriminellen Interesse anzuzeigen. Für weitere Fragen stehe ich gerne zur Verfügung. Quote Share this post Link to post Share on other sites
brain_ticket 5 Report post Posted May 31, 2019 Danke für die klärenden Worte! War auch eher so ein Gedanke das das vllt zusammen hängen könnte. Quote Share this post Link to post Share on other sites
Thomas Ott 68 Report post Posted May 31, 2019 Hallo brain_ticket, ist verstanden, es war mir eine Freude Quote Share this post Link to post Share on other sites
