MR-Meldung: [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

    Moin,


    habe soeben die genannte Meldung erhalten. Für mich ist nicht eindeutig, was diese ID aussagt. Habe auf die Schnelle gefunden, dass es in den letzten Tagen schon ein paar Geräte gab, bei denen der MR diese Meldung brachte.

    Ticket ist erstellt, hat jemand eine Ahnung was das sein könnte und wie damit umzugehen ist? Würde schon gerne wissen, was wo gefunden wurde und warum... nur gibt der MR leider nicht mehr preis :rolleyes:


    Das Gerät ist selbstverständlich nicht aus dem WAN erreichbar, es läuft auch nur für etwa 1h/ Tag und wird ausschließlich als Snapshot Vault verwendet.


    Achja:

    MR 4.6.1.0, QTS 4.5.2.1630 [wie kann man nur vergessen die Versionen anzugeben? :evil:]


    UPDATE

    Es sind scheinbar sämtliche QNAP NAS betroffen, bei denen der MR (versionsunabhängig) am 26.04.21 neue Definitionen erhalten hat.

    Details seitens QNAP Support stehen noch aus, in Post #5 ist bereits eine erste, spärliche Erklärung des Supports geliefert worden.


    UPDATE 2

    Die Antwort des Supports ist eingegangen und spiegelt das wieder, was hier bereits angemerkt wurde, es handelt sich um eine Bereinigungsmaßnahme von anfälligen HBS3 Daten.

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen

    Zitat von QNAP Support

    Sehr geehrter Herr x,


    die Malware-Entferner-ID MR2102 bedeutet, dass anfällige alte HBS cgi-Dateien entfernt werden. Das heißt, dass die alten anfälligen HBS-Konfigurationsdateien entfernt werden, nachdem Benutzer die HBS 3-App aktualisiert haben.


    Das ist nur eine Bereinigungsmeldung. Bitte machen Sie sich keine Gedanken wegen dieser Warnung. Wir werden versuchen, dies im nächsten Firmware-Update zu beheben.

    3 Mal editiert, zuletzt von tiermutter ()

    Hast Du eine autorun.sh?

    Die wurde bei mir immer damals vom MR/derek-be-gone angemeckert, da ich einige individuelle Scripts in der autorun.sh hatte.

    War also ein "false positive".


    Gruss

    Zitat von FSC830

    Hast Du eine autorun.sh?

    Nope. Zumindest ist jetzt keine da und ich hatte zuvor auch nie eine.

    Im Dumplog findet ich auch keine Hinweise was gemacht wurde.

    Gleiches Symptom hier. Ebenfalls ein NAS das nicht von außen zugänglich ist, keine Portweiterleitung, kein QnapCloud oder sonstiger externer Zugang. TS832X, Firmware 4.5.2.1630 und Malware Remover 4.6.1.1. Ein Ticket bei Qnap werde ich nicht aufmachen, da niemand von außen auf das Gerät zuzugreifen hat. Kann man irgendwie herausbekommen, was das MR2102 ist? CPU-Auslastung ist 1 Prozent, auch keine Datenträgeraktivität oder andere Anzeichen eines Cryptotrojaners zu sehen.

    Einmal editiert, zuletzt von LuiK ()

    Ich habe die gleiche Meldung erhalten und bei QNAP nachgefragt:


    Der Malware Remover und dessen Daten (Datenbank) wurden in der Cloud geupdatet.

    Jetzt sucht der Malware Remover auch nach 7z Daten usw, aber wenn man selbst verschlüsselte Ordner oder Dateien hat kann das diesen Fehler auslösen.


    (Persönliche Meinung)

    Das heißt nicht das ein Virus auf der NAS sein muss.

    Zitat von LuiK

    Ein Ticket bei Qnap werde ich nicht aufmachen, da niemand von außen auf das Gerät zuzugreifen hat.

    QNAP muss nicht zwingend von außen zugreifen, aber sie fragen gerne mal um Erlaubnis. Gibt es bei mir aber auch nicht!

    Zitat von LuiK

    Kann man irgendwie herausbekommen, was das MR2102 ist?

    Ich hoffe das wird spätestens der Support auflösen. Ich denke eine Anfrage dazu sollte reichen. Falls ich Deine Unterstützung als "zusätzlich Meldender" brauche sage ich Bescheid ;)


    Auslastung sieht bei mir auf den ersten Blick auch gut aus, die SNMP Aufzeichnungen verraten mir allerdings, dass heute etwas mehr CPU-Action angesagt war.

    Möglichweise aber weil ich mich heute mal in die GUI eingeloggt habe.

    Zitat von jumpooger

    Jetzt sucht der Malware Remover auch nach 7z Daten usw, aber wenn man selbst verschlüsselte Ordner oder Dateien hat kann das diesen Fehler auslösen.

    :/ bedeutet das, dass nun auch "legal" verschlüsselte .7z Daten als böse deklariert und ggf. sogar gelöscht werden? 8|

    Inzwischen die gleiche Meldung von einem TS-231P, ebenfalls Firmware 4.5.2.1630 und Malware Remover 4.6.1.1 und ebenfalls nicht offen am Netz, keine Cloud... Nur Internetzugang für Updates vom NAS.

    Jo, mein TVS 473 hat nun auch gemeckert... die hat im Gegensatz zur 453A (4.5.2.1630/ MR 4.6.1.0) allerdings QTS 4.5.2.1594 und MR 4.6.1.1 am laufen.

    Scheint also ausschließlich mit den Definitionen in Zusammenhang zu stehen.

    Nachdem die Meldung einmal kam, kommt die Meldung beim nächsten Scan aber auch nicht mehr wieder, was darauf deuten lässt, dass tatsächlich irgendwas gelöscht/ verändert wird.


    Edit:

    Alle meine QNAP NAS meckern grad... es ist nicht einer verschont geblieben.

    Einmal editiert, zuletzt von tiermutter ()

    Zitat von tiermutter

    :/ bedeutet das, dass nun auch "legal" verschlüsselte .7z Daten als böse deklariert und ggf. sogar gelöscht werden?

    Sieht nicht so aus, meine als 7z gepackten und verschlüsselten Backups scheinen noch vollständig auf dem NAS zu sein.

    Eigentlich dürfte der MR auch nichts auf den Shares anpacken, der agiert ja nur im System.

    Ich habe die Automatik erstmal vollkommen abgeschaltet von MR und warte was dabei heraus kommt, hatte noch keine Meldung bisher und werde das prg auch nicht starten

    MR2102 bezieht sich wohl auf das hier:

    heise online: Jetzt patchen....


    Wenn man googelt, findet man viele Foren-Posts von Leuten, bei denen diese Malware tatsächlich zugeschlagen hat. Auch dieses Youtube-Video:
    QNAP Ransomware Malware (MR2102) April 2021


    Alle Betroffenen berichten aber von Malware-Remover-Nachrichten im Sinne von

    Code
    "Removed the detected malware: MR2102".


    Was hier im Thread diskutiert wird und was ich auch vor einer halben Stunde erhalten habe ist

    Code
    "Removed vulnerable files or folders"

    Soll wohl heißen: "Ich habe ein Sicherheitsproblem für Dich gelöst".

    Jetzt würde ich nur zu gerne wissen, was der Malware Remover gemacht hat. Meine Firmware und alle Apps sind auf dem neuesten Stand, es gibt auch kein Port Forwarding für das NAS. Es gibt nichts verschlüsseltes auf meinem NAS, was ich nicht selbst verschlüsselt habe. Es sollte also keinen Grund für ein Eingreifen geben.

    Selbiges hier.


    Code
    Warnung	2021-04-26	12:40:40	admin	127.0.0.1	Malware Remover	Malware Removal	[Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102


    TVS-672N, FW 4.5.2.1594, Alle Apps auf Letztstand (d.h. Malware Remover 4.6.1.1. / Hybrid Backup Sync 16.0..0419, Multimedia Console 1.3.4, etc.)

    Kein Portforwarding, QSyncCentral deaktiviert (und war nie eingerichtet)

    Admin Benutzer deaktiviert.


    Auf den ersten Blick hat es auf den Freigabeordnern keine unplausiblen Änderungen gegeben.


    Trotzdem nicht gerade wahnsinnig witzig.


    Wenn man nach MR2102 googelt findet man etwas Reddit und davon weitergehend auf BleepingComputer das damit in Zusammenhang stehen dürfte.

    Ebenfalls betroffen... gleiche wie bei Euch


    TS-677, alles auf dem aktuellen Stand.

    Ich tippe auf eine "Falsch/Positiv Meldung", weil es einfach nicht sein kann

    Die Meldung wird (wahrscheinlich und unglücklich formuliert) die Abänderung des systemeigenen 7z sein (darf nicht mehr mit Zusätzlichen Parametern wie z.B. Passwörtern ausgeführt werden)


    Wird auch im Englischen Forum grad drüber "panisch" diskutiert

    Die Meldung zu MR2102 bekam ich heute auch. Mein NAS kann nur über SSH von außen erreicht werden, und der Zugang ist gut abgesichert. Zeichen einer böswilligen Aktivität durch Malware habe ich nicht sehen können.


    Ich halte es für möglich, dass QNAP über den Mechanismus des Malware-Scans eine Datei der normalen Installation löscht oder ändert, um die aktuell grassierenden Qlocker-Infektionen zu stoppen.


    Ich habe da so einen Verdacht:

    Code
    $ ll /usr/local/sbin/*7* 
-rwxr-xr-x 1 admin administrators 1.5K 2021-04-26 12:36 /usr/local/sbin/7z*
-rwxr-xr-x 1 admin administrators 466K 2021-03-01 22:02 /usr/local/sbin/7z.orig*
-rwxr-xr-x 1 admin administrators 2.2M 2021-03-01 22:02 /usr/local/sbin/7z.so*

    Die ausführbare Datei 7z ist von heute. Sie ist nur 1,5k groß. Dann gibt es da ein 7z.orig mit der für den Packer zu erwartenden Größe.


    Bei der Datei 7z handelt es sich um eine Shell-Datei. Ein Blick in den Inhalt zeigt:

    Wenn der Aufruf mit Verschlüsselung und Passwort ist, dann wird zwischen 10 und 20 Sekunden gewartet. Es wird nichts komprimiert oder verschlüsselt.

    Wenn nicht verschlüsselt und komprimiert werden soll, dann wird 7z.orig aufgerufen.


    Was daran bedenklich ist:

    Warum wird statt 7z nicht das Programm, welches die Sicherheitslücke enthält, derart gepatcht?

    Weiß Qnap immer noch nicht, was der Angriffsvektor ist?

    Zitat von dolbyman

    Wird auch im Englischen Forum grad drüber "panisch" diskutiert

    Die "Panik" verfliegt, je mehr User/ Geräte sich melden. Hätte ich allein da gestanden, würde ich meine Backupsysteme zur Sicherheit schonmal vom Netz trennen, aber so bin ich nun ganz geschmeidig drauf und warte mal ab, was genau bei raus kommt :)

    Statement von Qnap ID MR2102 : remove vulnerable old HBS cgi files.


    es ist eine falsche positive Meldung

    Zitat von jumpooger

    Statement von Qnap ID MR2102 : remove vulnerable old HBS cgi files.

    Das kann nicht alles sein. Ich habe mir ein Beispiel an Anthracite genommen:

    ll /usr/local/sbin/*7*


    /usr/local/sbin/7z* wurde heute um 13:44 bei mir geändert. Zum selben Zeitpunkt erhielt ich die EMail von Malware Remover.