Pages

Monday, May 25, 2009

eMule 0.49c ZZ-R V2.4 {false positive}


ZZ-R V2.4

Changelog:
==========

25.05.2009
------------------------------------------------

+ AntiMod
+ Remove Bad Blockratio Clients
+ Ban Bad Modstring Scheme
+ AntiMod added to design-settings
+ Clients share visibility added to design-settings
+ Whois IP-Lookup | Web (disable to open your favorite url from menus)
+ Some fixes for Modeless Dialogs

!! Vor dem Start bitte die preferences.ini im config Ordner löschen um Probleme mit den geänderten Limits zu vermeiden !!
!! Before starting, please delete preferences.ini in the config folder to avoid problems with the new limits !!

Addendum 27.05.2009
==================================================
Download: {the included file emule.exe shows by some AV's a false positive alert}
eMule0.49c-ZZ-R_V2.4.rar | Mirror1 | Mirror2

official release
File: eMule0.49c-ZZ-R_V2.4.rar
CRC-32: ec8c26af
MD4: 6d27d3db51b14a67e9fe5cc46f446003
MD5: 3d0e74640741e8beab2fb93d12c23c83
SHA-1: 7303f6c3e2422c14e03ad7052ed3a6af4fe6ba2a

emule.exe
File: emule.exe
CRC-32: fb09fa31
MD4: 9fba8eff0177f0444e6953ed1e6aa7e5
MD5: e1d57c4ebc7349048baf5cfc81820b62
SHA-1: 9ece7e3fca37143e6d9bf58768372cad37813a9a






Update 28.05.2009
The false positive is corrected by Kaspersky AntiVirus with updates from 28.05.2009


F-Secure and Fortinet with latest definition updates from 28.05.2009 False Positive fixed too!
http://virusscan.jotti.org/de/scanresult/0aa52375d5cedf9890758162935766cab45b88a4
http://www.virustotal.com/de/analisis/40d0b7b0489750c32211ceda5e30aee15dd9929a01b119424fac7e838b60390f-1243528638

Users of the following AntiVirus Products may get a FALSE POSITIVE alert:
New K7AntiVirus shows now False Positive

User complain about virus alert

================================================

Today a clean in c++ coded Software Mod not packed or protected with any kind of exe packer/protectors shown a Trojan in some AV's. The Binary File should not be difficult for experts to do a deep analyze and correct the false positive.


... it looks like some AV's reference signatures to Kav and add itto them signature updates by imagebase/name/etc/...

Run any PE Optimizer/Trim on the emule.exe
Get a Picture:

http://www.virustotal.com/fr/analisis/d2f85947c58777c14e6f6e3929444a0eadfad0cba1a912cc7f53764c9b935def-1243412905


Fichier emule.exe reçu le 2009.05.27 08:28:25 (UTC)
Situation actuelle: terminé
Résultat: 0/40 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.27 -
AhnLab-V3 5.0.0.2 2009.05.27 -
AntiVir 7.9.0.168 2009.05.27 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.27 -
Avast 4.8.1335.0 2009.05.26 -
AVG 8.5.0.339 2009.05.27 -
BitDefender 7.2 2009.05.27 -
CAT-QuickHeal 10.00 2009.05.27 -
ClamAV 0.94.1 2009.05.27 -
Comodo 1203 2009.05.26 -
DrWeb 5.0.0.12182 2009.05.27 -
eSafe 7.0.17.0 2009.05.26 -
eTrust-Vet 31.6.6523 2009.05.27 -
F-Prot 4.4.4.56 2009.05.27 -
F-Secure 8.0.14470.0 2009.05.27 -
Fortinet 3.117.0.0 2009.05.27 -
GData 19 2009.05.27 -
Ikarus T3.1.1.57.0 2009.05.27 -
K7AntiVirus 7.10.745 2009.05.26 -
Kaspersky 7.0.0.125 2009.05.27 -
McAfee 5627 2009.05.26 -
McAfee+Artemis 5627 2009.05.26 -
McAfee-GW-Edition 6.7.6 2009.05.27 -
Microsoft 1.4701 2009.05.27 -
NOD32 4108 2009.05.27 -
Norman 6.01.05 2009.05.26 -
nProtect 2009.1.8.0 2009.05.27 -
Panda 10.0.0.14 2009.05.26 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.27 -
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.27 -
Sunbelt 3.2.1858.2 2009.05.27 -
Symantec 1.4.4.12 2009.05.27 -
TheHacker 6.3.4.3.332 2009.05.26 -
TrendMicro 8.950.0.1092 2009.05.27 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.27.1756 2009.05.27 -
VirusBuster 4.6.5.0 2009.05.26 -
Information additionnelle
File size: 5906432 bytes
MD5 : 46882fdd186a19a6915a80ab0e0795fe
SHA1 : ed5f0097339987777579ed2c1158281b229aef77
SHA256: d2f85947c58777c14e6f6e3929444a0eadfad0cba1a912cc7f53764c9b935def
TrID : File type identification
Windows OCX File (71.0%)
Win32 Executable MS Visual C++ (generic) (21.6%)
Win32 Executable Generic (4.9%)
Generic Win/DOS Executable (1.1%)
DOS Executable Generic (1.1%)
ssdeep: 98304:Fm4hC/3YxZTENGuCxMNbiNZn6/r2PmXPcP:FYqtb6/r2uXUP
PEiD : -
RDS : NSRL Reference Data Set
-

only trimmed/optimize PE exe and virus alerts gone.
Prove False Positive:
1. Download any PE Optimizer Keywords: PE Optimizer, Trim PE PETrim ...
for example: Bitsum PE Compact Free Version is ok http://www.bitsum.com/pecompact.shtml, only trim/optimize some with PE Rebuild/Optimizer/... with gui some in command line mod. http://upx.sourceforge.net/
2. on emule.exe apply the pe optimizer and set only trim/optimize (not compress)
3. scan file with virustotal.com : all engines show suddenly false positive is gone

4. a test on some AV's which was shown False Positive on MS C++ compiler output file emule.exe and the one who inspect from beginning the file while scanning already deep enough through the binary and don't shown a false positive:

emule.exe 5.63 MB (trim)
emule.exe 3.13 MB (UPX strip)
emule.exe 5.75 MB (upx decompr. w. PE Tools)

.. suggested to use HashFile to verify talking about the same files by Scan Results such as Hashtab, HashCheck


hmmm... sometimes some Antivirus are wrong. It should be clear to see that here is no Trojan or Virus in this file otherwise it will be in the file if Trim PE / upx and -de upx on emule.exe too. A Virus/Trojan can not get lost with the above procedure.

Further tests with Microsoft Network Monitor 3.3 in combination with Process Monitor v2.04 by monitoring and logging all traffic to/from emule.exe shown no suspicious Online activity other as official eMule 0.49c nor does a second hidden process start with it.

There are no Viruses or Trojans in morph4u mods, I'm sure morph4u cares about his software and users!


Remarks:
- server.met is from peerates service ( http://peerates.net/servers.php ) in the server window to update. The server.met is an older one which was up to date as the mod got coded, it shows later on an Australian P2P Research Server in the list with address ed2k://|server|202.3.54.54|1111|/ ( http://whois.domaintools.com/202.3.54.54 )
- if the above server is bad, the mod have under Options > Update > Security a protection with IP Filter.dat from http://downloads.sourceforge.net/scarangel/ipfilter.rar , you may remove this server from the svr list if it's a questionable ed2k server.

Ref:
Response from the Software Author of the eMule Mod see comments on my Blog also in several AntiVirus and Security Forums:
Kaspersky
Panda
A-Squared
F-secure

AV Firms have been informed to re-analysis and remove the wrong virus alerts, correction of the false positive which shown up by some AV scanners.

Danke

45 comments:

Anonymous said...

Was ist das??? Enable Whois ip-Lookup das kenne ich nicht. Und wieso kann man nicht den Modname ändern so wie früher bei den Zz.

morph4u said...

Whois war auch schon in den alten ZZ-R Versionen und ermöglicht eine direkte Whois Abfrage eines Clienten aus dem Menu heraus.

Hier kannst du es aber noch ausschalten und anstatt des Whois eine andere Url eintragen (zb. dein Board) und dann den Browser vom Menu aus aufrufen.

Das "Custom Modtring" ist einfach nicht mehr drinn, weil fast sämtliche User einen falschen String setzen und dieser detected wird. Es ist nunmal so daß ein Großteil dr User nicht weiß was man überhaupt eingeben kann/darf um nicht erkannt zu werden.

Ich seh das fast täglich in meiner Liste daß 50% falsche Strings nutzen!

Bei mir ist das egal, aber von den Offi Mods werden die halt alle erkannt.

IlLusioN said...

Bin mir nicht ganz sicher muss das morgen mal testen. Glaube es ist wenn Du auf nen Klienten klickst dann kannst du im internet eplorer oder opera, firefox, jenachdem. Das machen http://whois.domaintools.com/dieipnummerdesclienten z.b.

http://whois.domaintools.com/213.248.125.112

IlLusioN said...

Wir koennten ne Liste dazu machn mit gueltigen Modnamen und schreiben was man zur Auswahl hat?

wenn es im Benutzernamen Modname auch dazu fuegt dann alle Modnamen von bis version die passen.
Wenns nur Modname ist also ohne das es im Benutzernamen den Modnamen anhaengt die anderen...

Was meinst du?

morph4u said...

Das Prob fängt schon an, wenn jemand zb. AaaaAaa nutzt anstatt Aaaaaa. Oder zb. MorphXT im Apace einträgt. da fehlt dann das << >> hinterm nick. u.s.w. Das ist heutzutage viel was man wissen muss um nicht detected zu werden. Und da finde ich es eben einfacher es "hardcoded" zu lassen oder eben mit random.

Anonymous said...

Ist ja klasse das du dich so rein hägst für andere morph4u,aber es gibt ja auch genug leute die deine Arbeit kritisieren.Und glaub mir außer scheiße schreiben, kriegs du von dehnen nichts zurück. Was ich damit sagen will, wenn jemand zu blöde ist einen mod string falsch einzusetzten ist ja nicht deine sorgen und es gibt ja auch den radom string,aber es fehlt aber diese funktion. Schade...

IlLusioN said...

Nee ist in der Tat so wenn man den Modstr namen falsch formiert dann beginnnen DLP Mods zu bannen.

Bei MorphXT, Xtreme und Ableger muss der im Nicknamen am ende gleichlautend sein wie z.B.

irgend ein nick name ein paar zeichen in Klammer [a/uh]«MorphXT 11.3»

bei modname MorphXT 11.3

etc...

Anonymous said...

morph4u
Sag mal lieber,wann nen Board wieder online is' ;-))

Und wegen den Modnamen.Wenn einige da Dämliche Strings Eintragen,sind se' selber Schuld.
Hab mittlerweile in dem einen oder anderem Board einige "ich weiß alles" User darauf hingewiesen,das sie bei mir trotz Powershare gebannt werden.
Da siehste Mod's so ungefähr so:
(:y8-g%.1.0)nur nen Beispiel.
Muß ich wohl nix mehr zu sagen..

Dinka

Anonymous said...

Welcher mod ist das nun der mit Custom Modstring nach dem Modnamen Schema den Modnamen mit Version von selbst hinter den Benutzernamen einsetzt wie: «Modname version» sowie in klammer nur random irgendwas [x>X] davor?
Das ist das Schema wie MorphXT, Stullemule, Xtreme,... den Modstring sendet.

Anonymous said...

"Url eintragen (zb. dein Board)"
geht auch über webdienste (Webservices.dat),
also überflüssig.
nutze StulleMule Plus hat einstelbarem modstring und modaddon im Nick.
Aber anderes Thema DLP & Stulle mods...
Hab's mal Engo3k gefragt warum er meistens die modnamen vergibt die sicher in den DLP's vom Xtreme und Ableger sind?, Antwort..
"Ist ein schutz gegen die wirklichen leecher mods, damit erspare ich mir die in antimod oder anicomm einzutragen. ja sogar bei
dem Offiziellen StulleMule/Extreme/... bin ich doppelt drin wegen [ult...-board] im Nick, damit auch doppelt gebannt hahaha,
habe auch keine Offiziellen leecher in der warteschleife die die neue DLP nutzen, damit bestrafen die sich aber selbst weil ich
und andere den Releasern meistens helfen"//Zitat ende.
erlich gesagt bekomme selbst kaum was vom Xtremen & co.
Und wen ich den 7.2 Testweise starte sehe ich nur die hälfte an brauchbaren quellen
der Rest steht im leecher-log
und das beste ist, gerade die Releaser fehlen und Umstellung auf Reduziere Score" nicht möglich :-/
Xtreme und co. mods sind aber da, haben leider kaum was anzubieten :-D
ulimativ-bord als Nick Zusatz in [] setzten wird mir bei bei Xtreme/StulleMule mod untersagt!

Also @Stulle, damit wirst du sicher nicht der King of eMule mods
so was ähnliches was du jetzt versuchst ist vor 70 Jahren zum Glück!, auch in die Hose gegangen!!!

MfG
massong

CCCP said...

Ja sehe das auch so.
Das Problem besteht bei Englischen Dateien sei es Software oder was auch immer. Gerate mal in nen Scharm wo z.B. fast nur Mods nach den Schema Avbsd 1.2 (erster Buchstabe Gross rest klein) ohne den selben modnamen beginnend mit « mindestens 4 Buchstaben stimmend bis kurz vor Versionsnummer und mit » im Benutzernamen abschliessen wiederspiegelt ist. Ein Blick auf Den Country Flags zeigt sofort was hier im Spiel ist. Diese Menge ist 0upload IL AJ comms. Ich moechte deshalb nicht ein ganzes Land sperren an Ip filter, denn auch dort gibt es Uploader.
Mods die Upload geben und als Releaser eingesetzt werden ist klar dass Leute mit Hirn beim komilieren diese in der DLP einfach entfernen.
Es macht kein Sinn jene Vorgaben die fertig kompiliert offiziel zum Download als DLP version 3.8 oder was auch immer aktuell im grossen Umfang gebannt wird zu bannen sonst bannt man die besten Quellen mit. Bei den oben genannter Benutzernamen Modstr. Erweiterung ist kar «...» nicht auf Modstr. anzuwenden die dem nicht entsprechen und bekanntlich upload geben.

Ender said...

there is a problem, kaspersky recognises, that there is a trojan in emule.exe trojan-downloader.win32.agent.canz.
why is that?
anyway thank you for effort.

Anonymous said...

Thanks for the updates illusion. Would it be possible for DDL like your previous announces? I usually prefer those than to uploaded.to since sometimes it just shows ad and have to do recount to do download.

IlLusioN said...

@Morph4u hab den Mod aus NL gezogen. Kannst du mal checksume vergleichen ob das die selbe Datei ist wie von dir oder ob Kasprersky daran Schuld ist. Im letzteren schlag ich vor das man sich kurz mit Kasperky unterhaelt. Eine ungepackte exe sollte fuer die kein Problem sein um den falsch positive dann herauszunehmen.

IlLusioN said...

No, see by self start Process explorer then start emule.exe. No second process start with it.
Defiantly False Positive by Kaspersky.

Anonymous said...

NOD32 Security,no Alarm
TrojanHunter Guard,no Alarm

IlLusioN said...

I can not let the link if Kaspersky shows a virus even it's false positive.
Program Author please should contact Kaspersky, post the file in KAV Forums until they analyze the file manual.

IlLusioN said...

Someone wanna kidding me with False Positive on Leecher mods with clean binaries not packed not protected.

Forget it. No Virus inside!

Anonymous said...

No False Positive by KAV with updates from today.

http://www.virustotal.com/de/analisis/40d0b7b0489750c32211ceda5e30aee15dd9929a01b119424fac7e838b60390f-1243492154 =================
Fortinet have it now as false positive listed
Fortinet 3.117.0.0 2009.05.28 W32/Agent.CANZ!tr.dldr

morph4u said...

eMail at me from KAV !

Betreff: RE: [VirLabSRF][False Alarm][M:1][LN:EN][L:0] [KLAN-32786902]
Von: newvirus@kaspersky.com ins Adressbuch | zum Chat einladen
An: XXXXXXXXXXXXXXX
Datum: 27.05.09 22:56:03 Uhr

Betreff: RE: [VirLabSRF][False Alarm][M:1][LN:EN][L:0] [KLAN-32786902]
Von: newvirus@kaspersky.com
27.05.09 22:56


Hello,

Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.

Anonymous said...

Good, lets hope the other AV's correct it too.

Anonymous said...

Hi, bei mir funktioniert UPnP nicht, er sagt immer UPnP konnte die Portweiterleitung nicht konfigurieren, ist das bei euch genauso???

Anonymous said...

Was bedeutet das???? (UploadQueue: Error! Throttler has more slots in class 2 than UploadQueue! Throttler: 5 UploadQueue: 2 Tick: 4023156) wenn das kommt geht mein Download total in den Keller, stimmt was mit den Mod nicht???

Anonymous said...

Ich hätte mal eine Algemeine Frage zu diesen Mod, kann ich selber sehen ob ich von anderen gebannt werde??? Ich bin in einer Releaser crew und wollte einfach wissen ob dieser mod tauglich ist, oder werde ich von anderen gebannt!!! Danke im vorraus...

Anonymous said...

"kann ich selber sehen ob ich von anderen gebannt werde???"
ja,deine warteschleife wird kleiner als die, die mit dir Releasen :-)

Anonymous said...

Sorry ist zu hoch für mich, ich habe unten im moment stehen 3596/6250 (76 gebannt) meinst du das???? kann ich auch sehen von welchen mod ich gebannt werde???

IlLusioN said...

Wart ich hab ne Idee, Ich lad alle Quellcodes runter von allen mods in version 0.49c, sehe nach was die fuer nen modstring reingecoded haben und poste ne liste dann.

Manche Mods haengen am Benutzernamen am Ende [paarzeichen] z.b. [I;P/] gefolgt vom Modstring z.B. «MorphXT 11.3» so das der Benutzername dann so gesendet wird z.B.: meinemulename[I;P/]«MorphXT 11.3» und im Modstring also Modnamen, wenn der einstellbar ist, natuerlich keine diese klammern reintippen, dass macht custom modname selbst nur den modnamen z.B. MorphXT 11.3. Das sendet dann den offiziellen MorphXT modnamen.

Anonymous said...

Kann mir jemand aus erfahrungswerte mal sagen, welcher mod wird am wenigstens gebannt!!! Ich habe nicht so die ahnung, und suche einfach ein guten Mod??? Wer kann mir dabei helfen??? Danke im Vorraus....

IlLusioN said...

ZZ-R oder Engo's mod. Das was in der liste bei gebannt unten steht is das was du bannst. eMule R.I.P. 0.49c kann nich gebannt werden da dort gar kein modname hineine gecoded wurde. Sendet offiziellen emule 0.49c string. Jedoch hat der wenige funktionen. Is eher ein erweiterter emule 0.49c als ein mod.

Anonymous said...

Danke für die schnelle Antwort, habe im moment ZZ-R 2.4 am laufen, will mal den emule R.I.P ausprobieren, an den ist kaum Einstellungen, also ein bishen muß schon dran sein. hihi.

IlLusioN said...

Bei eMule 0.49c Versionen sehr gut im upload und download ist:

Apace
StulleMule plus
ZZ-R

zu den offiziellen mods sag ich lieber nix denn die haben wieder alle Begrenzungen und Regelzeugs drinnen.

Anonymous said...

nee officielen möchte ich auch nicht, den R.I.P ist auch ohne nichts einzustellen, der klasische einfach, dann bleibe ich erstmal bei der Zz 2.4, die läuft ganz gut...

Anonymous said...

MorphXT 11.3 sendet keine Anti Nick Zeichen ->[I;P/] einfach nur...
meinnick «MorphXT 11.3»
Bei StulleMule Plus und als modname MorphXT 11.3 wäre das schon für mich auffällig ;-)

bei StulleMule Plus entweder StulleMule 6.2 oder Meinnick 3.5
oder sonnst was Hauptsache keine exotische Namen/Zeichen wie ?'*$/ etc.
Und selbst keine [] im modnamen setzen das macht der StulleMule schon automatisch oft schon gesehen
[[ModName 2.3]] und der Nick sieht dann so aus.. Albatros [9)Vf] «[ModName 2.3]»

IlLusioN said...

stimmt, Xtreme un co. ist das mit [l;\u] im Nick addon.

IlLusioN said...

ein paar modstrings

bei custom modname:

ZZUL 20090222-2320
ZZUL BastarD 1.9.8
beba v2.50
AnalyZZUL 3.0

mods wo der modname im benutzername am ende angefuegt wird:

Irgendein Benutzername«MorphXT 11.3»
Modname: MorphXT 11.3

Xtreme und Ableger:
Irgendein Benutzername [4zeichenbuchstaben] «Xtreme 7.2»
Beispiel:
mein emule nickname [0;iU] «Xtreme 7.2»
Modname: Xtreme 7.2

morph4u said...

Naja, im Mod muss entsprechend das "Anti ModID Faker" angepasst sein. Sonnst wird das auch nichts mit manchen Offi Strings.

Es gibt schon vieles zu beachten ;-)

Aus diesem Grund (im ZZ-R) entweder Orginal String oder der angepasste Random. Da kann niemand was falsch machen und auch nicht erkannt werden.

Stulle said...

Wie süß ihr doch seid... *auslach*

Viel Spaß noch beim rausfinden welche Namen gebannt werden und welche nicht. *lolwech*

Anonymous said...

Tjo ich hab zum Bleistift mal den offiziellen Xtreme in die DLP in allen versionen gebannt. Upload macht der viel zu wenig. dlage uploadmanagement getestet und eingebaut, bringt auch nich mehr.

IlLusioN said...

Aba Sweety da stehts doch drin was so gebannt wird:

http://nchc.dl.sourceforge.net/sourceforge/emulextreme/antileech-sources.rar
http://dump.no.nyud.net/files/1e959664eec3/
was willste denn da noch herausfinden?

Anonymous said...

@massong hat schon oben ^^ eschrieben

auf jedem fall keine Werbung für die
offiziellen Leecher mods machen,die geben nichts ab bevor sie selbst nicht fertig werden und danach ebenso !
einfach die Offizielen Xtreme/Scar Angel/Mephisto oder StulleMule mod Starten und sehe da, es sind nur ca. 10% der Vollständigen Dateien zu sehen der Rest ist im Leecher-Log zu finden!
hihihi -wer da ein mal reingeschaut hat nutzt nie wieder die Obengenannten, so viel zu deiner *auslach* versuch @Stulle!

Oder anders...,wo sind die ehemals gut vertretenen mods geblieben?

Spanier said...

Habe den Zz und den stullemule getestet, von den funktionen nehmen sich beide nichts, vom speed würde ich zum stullemule hin gehen,bei längere laufzeit verbrauch die Stulle weniger cpu, aber sonst sind beide gut. Sind beide zu empfehlen, machen beide Modder sehr gute arbeit.Thx

Richard said...

Wenn ich unter "Sicherheit" -> "Lecher Bestrafung" die Bewertung unter die voreingestellten 33%, also z.B. 10%, einstelle, dann bleibt das nur bis zum nächsten Start so und steht dann doch wieder auf 33%... Soll das so sein??

Anonymous said...

bei offi. StulleMulem -Ist es so.
bei StulleMule Plus -NEIN
http://img3.imagebanana.com/img/umimyh0d/Reducescore0.jpg

morph4u said...

ZZ-R V2.5

ed2k://|file|eMule0.49c-ZZ-R_V2.5.rar|5147001|8DAAC34FF95924339FA74E5D75225C53|h=ZHXICNVA22NBWEEFO4ZBAZH55SPD6LO3|/

+ Custom Modstring
+ Added Custom String to Feddback
+ Color for XPMenu setable
+ Rebind UPnP
+ Larger Buffersize
+ Added default URL for Nodes.dat
+ Changed default URL for Server.met
+ Updated miniupnpc from v1.60 2008/02/21 to v1.77 2008/12/18
+ IP2Country in KAD window
+ Color changes for QRDiff and Total Up/Down
+ Fixed Minimule Transparency was not saved

ILluTioN said...

excuse 4 the interrupt, just testing how it works with reply in the new comment system... O:-)

Post a Comment