Rootkits in LibreOffice

[Peter Bluewin]

Hallo Forum,
ich möchte kurz darüber informieren, dass ich nach der Installation von LibreOffice für Windows mit den Versionen 4.3.7, 4.4.3 und 4.4.4 Rootkits auf meinem Rechner gefunden worden sind. Wie bereits von mir berichtet, lassen sich die Programme nach der Installation ebenfalls nicht starten. Der Download aller Installationspakete erfolgte von der Internetseite http://www.libreoffice.org/download/libreoffice-still/ (ACHTUNG !!!).

Ob es sich um einen Fehler handelt, eine Fehlinterpretation meines Internetsecurity Packages (COMODO) oder irgend etwas anderes handelt (beabsichtigt oder nicht), kann ich nicht bewerten. Fakt ist, dass diese Software offenbar nicht den Standards entspricht und Dinge installiert, die im allgemeinen Kontext des Betriebssystems und Schutzsoftware als "gefährlich" eingestuft werden, deshalb aus meiner persönlichen Sicht als "nicht nutzbar" eingestuft worden ist. Damit erklären sich aus meiner Sicht auch die Probleme beim Start der Software (siehe anderen Beitrag "Setup und Installation von LibreOffice" von mir).

Ich hoffe, dass ich andere Nutzer damit behilflich sein konnte. Es wäre empfehlenswert, wenn das LibreOffice-Team seine Security Standards überprüfen würde.

Peter

[Stephan]

Hallo,

es ist nicht falsch eine solche Info hier ins Forum zu stellen, sinnvoller adressiert wäre sie aber auf den LO-Mailinglisten, die man Dir im anderen Thread bereits verlinkt hat.

Ob es sich um einen Fehler handelt, eine Fehlinterpretation meines Internetsecurity Packages (COMODO) oder irgend etwas anderes handelt (beabsichtigt oder nicht), kann ich nicht bewerten. Fakt ist, dass diese Software offenbar nicht den Standards entspricht und Dinge installiert, die im allgemeinen Kontext des Betriebssystems und Schutzsoftware als "gefährlich" eingestuft werden, deshalb aus meiner persönlichen Sicht als "nicht nutzbar" eingestuft worden ist. Damit erklären sich aus meiner Sicht auch die Probleme beim Start der Software (siehe anderen Beitrag von mir).

Ich fürchte Du interpretierst da zu viel rein, denn Schutzsoftware ist nicht so zuverlässig das nicht Fehlalarme vorkämen und mit "Standard" hat das irgendwie wenig zu tun, sondern eher mit unzureichend funktionierender Heuristik der Schutzprogramme bei der Suche von Schadsoftware.

Zielführend wäre das Ganze zu melden (COMODO kenne ich jetzt nicht, aber eigentlich hat jede derartige Software heute einen 'Knopf' solche verdächtigen Dinge direkt zu melden) denn unter heutigen Gegebenheiten wird der Hersteller der Schutzsoftware dann meist innerhalb weniger Stunden klären was Sache ist, also bestätigen oder ausschließen das Schadsoftware vorliegt und ggf. ein Signatur- und/oder Programmupdate für seine Schutzsoftware herausgeben.


Ja, Du hast recht, ich spekuliere hier auch nur, weiß also nicht 'vor Gott' das das von Dir Geschilderte ein Fehlalarm ist.


Gruß
Stephan

[nikki]

Hallo,

ich möchte kurz darüber informieren, dass ich nach der Installation von LibreOffice für Windows mit den Versionen 4.3.7, 4.4.3 und 4.4.4 Rootkits auf meinem Rechner gefunden worden sind. Der Download aller Installationspakete erfolgte von der Internetseite http://www.libreoffice.org/download/libreoffice-still/ (ACHTUNG !!!).

Das ist eine der offiziellen Seiten von The Document Foundation die bislang nicht zur Beanstandung geführt haben. Nach einem neuen Download der Version 4.4.4 konnte ich keinen Unterschied zu einem früheren Download mit anschließender Installation erkennen.

Ob es sich um einen Fehler handelt, eine Fehlinterpretation meines Internetsecurity Packages (COMODO) oder irgend etwas anderes handelt (beabsichtigt oder nicht), kann ich nicht bewerten.

Wahrscheinlich frei nach dem Motto: Was der Bauer nicht kennt isst er nicht.

[Peter Bluewin]

Hallo Stephan,
danke für den Hinweis. Ich habe bereits die Meldungen an COMODO weitergeleitet. Genau, auch diese Software hat "so einen Button".
Kurz zu den Heuristiken: Ich habe keine besonderen Einstellungen in dem Security-Paket vorgenommen bzw. die Heuristik erhöht. Da bisher alle anderen Programme einwandfrei akzeptiert worden sind, schlage ich vor, diese "Merkwürdigkeit" genauer zu verifizieren. Ich kann an dieser Stelle keine weitere Hilfestellung geben, da ich zu wenig in der Materie stecke. Wie bereits beschrieben, bin ich lediglich der Überbringer der Nachrichten meines Computers.

Hier nochmal der Vorgang:
0. Prüfung des eigenen Systems auf Schadsoftware-Freiheit.
1. Download der LibreOffice-Software von den (Deutschen) Servern.
2. Installieren der LibreSoftware auf dem Computer.
3. Prüfung der Software (Starten, Funktionalität, Kompatibilität)
4. Erneute Prüfung des eigenen Systems, um Einflüsse durch die neue Software zu prüfen.
5. Auswertung

Viele Grüße

[Peter Bluewin]

Ich würde gerne noch einen weiteren Hinweis zu den Rootkits und dem Umgang damit geben. Es wäre aus meiner Sicht auch interessant, wenn LibreOffice auf Technologien wie Rootkits verzichten würde bzw. sich klar von deren Verwendung distanzieren würde. Vielleicht sind auch die Rootkits durch den Download entstanden. In diesem konkreten Fall ist die Quelle der Schadsoftware nicht klar bzw. sollte von Fachkundigen genau lokalisiert werden.

Peter

[hylli]

Ich kann nur empfehlen: Keine Prüfung ohne Gegenprüfung!

Ich empfehle da grundsätzlich mal noch weitere Programme drüber laufen zu lassen, z.B.:
http://www.computerbase.de/downloads/si ... i-rootkit/
http://www.computerbase.de/downloads/si ... detective/
http://www.chip.de/downloads/Sophos-Ant ... 84106.html
...

COMODO zählt mit Sicherheit nicht zu den gängigsten Schutzlösungen, und ich würde daher vermuten, dass es sich um einen "false positive" handelt.

Es wäre aus meiner Sicht auch interessant, wenn LibreOffice auf Technologien wie Rootkits verzichten würde bzw. sich klar von deren Verwendung distanzieren würde. Vielleicht sind auch die Rootkits durch den Download entstanden.

Wenn ein Programmierer Programmcode zu LibreOffice schreibt, dann kann ich mir kaum vorstellen, dass er/sie bewusst Techniken verwendet, die ähnlich einem Rootkit sind.

Ich gehe einfach davon aus, dass die Heuristik des Programms COMODO in dem Fall versagt hat.

Umgekehrt verlangt ja keiner von Dir, dass Du weiterhin LibreOffice verwenden musst. Du kannst ja gerne auch OpenOffice*, MS Office, Softmaker Office, WPS Office, Gnome Office (AbiWord, Gnumeric) oder sonst ein Office verwenden, das Dir zusagt.

*Auch ich hatte bei OpenOffice schonmal einen "false positive". Das von mir damals getestete Qihoo 360 Internet Security meldete da aber bereits einen Virus in der Installationsdatei, die ich ebenfalls von der Homepage von OpenOffice heruntergeladen hatte.

Wegen weiterer solcher "false positives" habe ich dann bei mir Qihoo durch eine andere Schutzlösung ersetzt, seither ist Ruhe.

Es steht Dir natürlich frei, Deine Erkenntnisse trotzdem an die Entwickler von LibreOffice weiter zu geben. Hier im Forum bist Du allerdings an der falschen Adresse. Eventuell bist Du hier besser aufgehoben:
https://de.libreoffice.org/about-us/security/

Optional auch hier:
https://wiki.documentfoundation.org/QA/BugReport/de

Hylli

[komma4]

Wie bereits beschrieben, bin ich lediglich der Überbringer der Nachrichten meines Computers

Und wie Dir bereits mitgeteilt sind "wir" hier ein Anwenderforum.

Es ist durchaus OK uns Deinen Verdacht mitzuteilen und hier nachzufragen. Du bist aber -wie wir gesehen haben- der Einzige, der ein solches Problem hat.

Meldungen von (vermeintlichen) Fehlern (=Schadsoftware-Befall) musst Du aber an das jeweilige Projekt richten - wir geben das von hier aus nicht weiter.

[hylli]

@Peter Bluewin:
Du kannst es natürlich auch noch bei COMODO melden:
https://forums.comodo.com/av-false-posi ... ng-b154.0/

Vor geraumer Zeit meldete da schonmal jemand einen false positive:
https://forums.comodo.com/av-false-posi ... 428.0.html

Die Lösung fand der Poster dann selbst für sich heraus:

I uninstalled both Comodo Internet Security and LibreOffice and installed the latest stable versions of both. I am no longer experiencing the issue.

Edit:
Achja, ich habe mir mal nun den Spaß gemacht, COMODO Internet Security (8.x) auf meinem virtuellen Windows 7 zu installieren. Bereits installiert war LibreOffice in Version 4.4.2.

Nach der Installation von COMODO führte das Programm zunächst ein Update aus, anschließend dann einem Quickscan des Systems, ohne einen Virenbefund.

Anschließend ein Neustart durchgeführt und dann einen Full Scan laufen lassen, mit folgendem Ergebnis:


Dann habe ich nochmals einen Full Scan laufen lassen, mit eingeschaltetem HIPS im Paranoia Modus. Hier meldete das Programm den Prozess "taskeng.exe" sowie "wmpentwk.exe" (so ähnlich), aber kein bisschen von LibreOffice.

Hylli

[Karolus]

Hallo

Anschließend ein Neustart durchgeführt und dann einen Full Scan laufen lassen, mit folgendem Ergebnis:
Bild....

Und für diese fundamentale Information hats jetzt ein Screenshot gebraucht

[hylli]

Nach 4 1/2 Wochen diese "Beschwerde"?

Kann den Screenshot auch gerne entfernen, wenn es Dich beruhigen sollte.

Hylli