Viruserkennung in distibutierbaren Dateien
Moderator: Moderatoren
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Viruserkennung in distibutierbaren Dateien
Hallo ich habe mit VirusTotal.com folgende Infektionen angezeigt bekommen:
Xpp 1.9.355 mit Xbtools
XBTNETW.DLL 4.5.06 13:56 116.224 byte --> Heur.Packed.unknown
XPPUI1.DLL 12.2.10 08:03 1.653760 byte --> W32/AutoRun.dbhj (wurm)
LL18: cmll18ht.llx 13.2.13 7.566.528 byte --> Adware/Kraddare.ip (erkennung legaler software)
Könnt Ihr das nachvollziehen, ob auch eure files dieses Verhalten aufweisen?
Interessant wäre auch was die 2.0 distributables anzeigen. Danke.
lg
CRT
Xpp 1.9.355 mit Xbtools
XBTNETW.DLL 4.5.06 13:56 116.224 byte --> Heur.Packed.unknown
XPPUI1.DLL 12.2.10 08:03 1.653760 byte --> W32/AutoRun.dbhj (wurm)
LL18: cmll18ht.llx 13.2.13 7.566.528 byte --> Adware/Kraddare.ip (erkennung legaler software)
Könnt Ihr das nachvollziehen, ob auch eure files dieses Verhalten aufweisen?
Interessant wäre auch was die 2.0 distributables anzeigen. Danke.
lg
CRT
- Jan
- Marvin
- Beiträge: 14651
- Registriert: Fr, 23. Sep 2005 18:23
- Wohnort: 49328 Melle
- Hat sich bedankt: 21 Mal
- Danksagung erhalten: 88 Mal
- Kontaktdaten:
Re: Viruserkennung in distibutierbaren Dateien
Moin,
altes und allgemeines Problem. Nahezu alle Virenscanner zeigen ab und an mal false positives. Mit dem nächsten Signaturupdate des Scanners ist der Spuk dann schon wieder zu Ende.
Ich bekomm da auch immer mal wieder Anfragen von Kunden, das ich denen doch bitte eine Virenfreie versions shicken soll. Wie viele potentielle Kunden abspringen weil die mich sofort für unseriös halten mag ich garnicht erahnen ... Sehr ärgerlich das Ganze ...
Jan
altes und allgemeines Problem. Nahezu alle Virenscanner zeigen ab und an mal false positives. Mit dem nächsten Signaturupdate des Scanners ist der Spuk dann schon wieder zu Ende.
Ich bekomm da auch immer mal wieder Anfragen von Kunden, das ich denen doch bitte eine Virenfreie versions shicken soll. Wie viele potentielle Kunden abspringen weil die mich sofort für unseriös halten mag ich garnicht erahnen ... Sehr ärgerlich das Ganze ...
Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Re: Viruserkennung in distibutierbaren Dateien
Ja es ist interessant, wenn ich das Setup analysieren lasse kommt nur ein Verdacht.
Wenn ich die Bestandteile des Setups ohne Setup-routine analysiere kommen 4 Verdachtsfälle.
Wenn ich dann jedes file einzeln analysiere sind es nur mehr drei Verdachtsfälle. Dubios.
Und das für Dateien aus, wie ich meine, seriösen Quellen. Könnten sich natürlich trotz Virenscanner bei mir infiziert haben.
Blöd, dass davon ein Geschäft abhängt!
lg
Wenn ich die Bestandteile des Setups ohne Setup-routine analysiere kommen 4 Verdachtsfälle.
Wenn ich dann jedes file einzeln analysiere sind es nur mehr drei Verdachtsfälle. Dubios.
Und das für Dateien aus, wie ich meine, seriösen Quellen. Könnten sich natürlich trotz Virenscanner bei mir infiziert haben.
Blöd, dass davon ein Geschäft abhängt!
lg
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2824
- Registriert: Fr, 08. Feb 2008 21:29
- Hat sich bedankt: 95 Mal
- Danksagung erhalten: 13 Mal
Re: Viruserkennung in distibutierbaren Dateien
Hallo,
VirusTotal ist ein Portal, das gegen eine Gruppe von Virenscannern prüft. Zum einen wäre interessant, welche Scanner überhaupt einen Treffer anzeigen, zum anderen könntest Du mal die VT-Links zur Verfügung stellen, sowie angeben, aus welchem Hotfix die Dateien stammen, dann würde ich mal versuchen, die Gegenstücke dazu hochzuladen und prüfen.
"Heur." steht für "heuristic" und bedeutet, dass der Virenscanner vermutet, dass es sich eventuell vielleicht um einen Virus handeln könnte - das .packed. deutet auf eine (vermutlich) gepackte Datei, welche der Virenscanner nicht prüfen konnte.
VirusTotal ist ein Portal, das gegen eine Gruppe von Virenscannern prüft. Zum einen wäre interessant, welche Scanner überhaupt einen Treffer anzeigen, zum anderen könntest Du mal die VT-Links zur Verfügung stellen, sowie angeben, aus welchem Hotfix die Dateien stammen, dann würde ich mal versuchen, die Gegenstücke dazu hochzuladen und prüfen.
"Heur." steht für "heuristic" und bedeutet, dass der Virenscanner vermutet, dass es sich eventuell vielleicht um einen Virus handeln könnte - das .packed. deutet auf eine (vermutlich) gepackte Datei, welche der Virenscanner nicht prüfen konnte.
Liebe Grüsse aus der Eifel,
Georg S. Lorrig
Redakteur der Wiki des Deutschprachigen Xbase-Entwickler e.V.
Georg S. Lorrig
Redakteur der Wiki des Deutschprachigen Xbase-Entwickler e.V.
-
- Der Entwickler von "Deep Thought"
- Beiträge: 2824
- Registriert: Fr, 08. Feb 2008 21:29
- Hat sich bedankt: 95 Mal
- Danksagung erhalten: 13 Mal
Re: Viruserkennung in distibutierbaren Dateien
Wenn Du Dateien zu VT hochlädst, bekommst Du einen Link, über den Du die Ergebnisse abrufen kannst.
Ich war davon ausgegangen, dass Du Dich ein wenig mit VT auskennst.
Anhand dieses Links kann auch ein Dritter die Ergebnisse einsehen.
Dazu kommt, dass VT Dateien nur einmal analysiert. Wenn die Analyse der Dateien länger zurückliegt, kann eine neue Analyse schon ganz andere Ergebnisse erbringen.
Ich war davon ausgegangen, dass Du Dich ein wenig mit VT auskennst.
Anhand dieses Links kann auch ein Dritter die Ergebnisse einsehen.
Dazu kommt, dass VT Dateien nur einmal analysiert. Wenn die Analyse der Dateien länger zurückliegt, kann eine neue Analyse schon ganz andere Ergebnisse erbringen.
Liebe Grüsse aus der Eifel,
Georg S. Lorrig
Redakteur der Wiki des Deutschprachigen Xbase-Entwickler e.V.
Georg S. Lorrig
Redakteur der Wiki des Deutschprachigen Xbase-Entwickler e.V.
-
- Rekursionen-Architekt
- Beiträge: 123
- Registriert: Mo, 18. Aug 2008 9:33
- Wohnort: Kärnten / Österreich
- Hat sich bedankt: 10 Mal
- Danksagung erhalten: 2 Mal
- Kontaktdaten:
Re: Viruserkennung in distibutierbaren Dateien
Ich habe von Alaska die Bestätigung erhalten, dass meine Dateien dem Original entsprechen:
"...ich glaube, ich kann Sie beruhigen:
o die XPPUI1.DLL entspricht der aus Hotfix Rollup #27
o die XBTNETW.DLL entspricht dem Xbase++ 1.9-Release Level
"
lg
CRT
"...ich glaube, ich kann Sie beruhigen:
o die XPPUI1.DLL entspricht der aus Hotfix Rollup #27
o die XBTNETW.DLL entspricht dem Xbase++ 1.9-Release Level
"
lg
CRT
- Tom
- Der Entwickler von "Deep Thought"
- Beiträge: 9356
- Registriert: Do, 22. Sep 2005 23:11
- Wohnort: Berlin
- Hat sich bedankt: 101 Mal
- Danksagung erhalten: 361 Mal
- Kontaktdaten:
Re: Viruserkennung in distibutierbaren Dateien
TrendMicro hat in der vergangenen Woche bei einem Kunden DLLs von uns in Quarantäne genommen, weil die Heuristik darin Verschlüsselungsmechanismen erkannt hat. Das stimmt auch (SHA1 und andere). Ansonsten entsprachen die DLLs beim Binärvergleich unseren ausgelieferten Originalen.
Die Hersteller von Antivirensoftware versuchen halt, irgendwie mit dem Problem - z.B. Locky & Co. - zurechtzukommen. Leider können sich die Hersteller von Viren auch alle verfügbaren Antivirensysteme mit aktuellen Signaturen holen. Ein Hase-und-Igel-Rennen. Verlierer sind die Anwender.
Die Hersteller von Antivirensoftware versuchen halt, irgendwie mit dem Problem - z.B. Locky & Co. - zurechtzukommen. Leider können sich die Hersteller von Viren auch alle verfügbaren Antivirensysteme mit aktuellen Signaturen holen. Ein Hase-und-Igel-Rennen. Verlierer sind die Anwender.
Herzlich,
Tom
Tom
- Herbert
- Der Entwickler von "Deep Thought"
- Beiträge: 1991
- Registriert: Do, 14. Aug 2008 0:22
- Wohnort: Gmunden am Traunsee, Österreich
- Danksagung erhalten: 3 Mal
- Kontaktdaten:
Re: Viruserkennung in distibutierbaren Dateien
Musste ich gleich nachschlagen, ich kannte das Märchen nicht.
https://de.wikipedia.org/wiki/Der_Hase_und_der_Igel
https://de.wikipedia.org/wiki/Der_Hase_und_der_Igel
Grüsse Herbert
Immer in Bewegung...
Immer in Bewegung...
- AUGE_OHR
- Marvin
- Beiträge: 12906
- Registriert: Do, 16. Mär 2006 7:55
- Wohnort: Hamburg
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 45 Mal
Re: Viruserkennung in distibutierbaren Dateien
das hat die Heuristik wohl bemerkt das dort "externer" Code ausgeführt wird der gefährlich aussieht.Tom hat geschrieben: weil die Heuristik darin Verschlüsselungsmechanismen erkannt hat. Das stimmt auch (SHA1 und andere).
anders aber bei "Locky & Co" die zur Verschlüsselung die advapi32.dll nutzten was Teil des OS() ist.
Beispiele zum verschlüsseln findet man bei MSDN.
scheinbar kann man "ohne grossen Problem" auf die API von advapi32.dll zugreifen ... hm
gruss by OHR
Jimmy
Jimmy