Viruserkennung in distibutierbaren Dateien

[CRT]

Hallo ich habe mit VirusTotal.com folgende Infektionen angezeigt bekommen:
Xpp 1.9.355 mit Xbtools

XBTNETW.DLL 4.5.06 13:56 116.224 byte --> Heur.Packed.unknown
XPPUI1.DLL 12.2.10 08:03 1.653760 byte --> W32/AutoRun.dbhj (wurm)
LL18: cmll18ht.llx 13.2.13 7.566.528 byte --> Adware/Kraddare.ip (erkennung legaler software)

Könnt Ihr das nachvollziehen, ob auch eure files dieses Verhalten aufweisen?
Interessant wäre auch was die 2.0 distributables anzeigen. Danke.

lg
CRT

[Jan]

Moin,

altes und allgemeines Problem. Nahezu alle Virenscanner zeigen ab und an mal false positives. Mit dem nächsten Signaturupdate des Scanners ist der Spuk dann schon wieder zu Ende.

Ich bekomm da auch immer mal wieder Anfragen von Kunden, das ich denen doch bitte eine Virenfreie versions shicken soll. Wie viele potentielle Kunden abspringen weil die mich sofort für unseriös halten mag ich garnicht erahnen ... Sehr ärgerlich das Ganze ...

Jan

[CRT]

Ja es ist interessant, wenn ich das Setup analysieren lasse kommt nur ein Verdacht.
Wenn ich die Bestandteile des Setups ohne Setup-routine analysiere kommen 4 Verdachtsfälle.
Wenn ich dann jedes file einzeln analysiere sind es nur mehr drei Verdachtsfälle. Dubios.
Und das für Dateien aus, wie ich meine, seriösen Quellen. Könnten sich natürlich trotz Virenscanner bei mir infiziert haben.

Blöd, dass davon ein Geschäft abhängt!

lg

[georg]

Hallo,


VirusTotal ist ein Portal, das gegen eine Gruppe von Virenscannern prüft. Zum einen wäre interessant, welche Scanner überhaupt einen Treffer anzeigen, zum anderen könntest Du mal die VT-Links zur Verfügung stellen, sowie angeben, aus welchem Hotfix die Dateien stammen, dann würde ich mal versuchen, die Gegenstücke dazu hochzuladen und prüfen.

"Heur." steht für "heuristic" und bedeutet, dass der Virenscanner vermutet, dass es sich eventuell vielleicht um einen Virus handeln könnte - das .packed. deutet auf eine (vermutlich) gepackte Datei, welche der Virenscanner nicht prüfen konnte.

[CRT]

Sorry, was meinst Du mit VT-links (www.virustotal.com)?

lg

[georg]

Wenn Du Dateien zu VT hochlädst, bekommst Du einen Link, über den Du die Ergebnisse abrufen kannst.

Ich war davon ausgegangen, dass Du Dich ein wenig mit VT auskennst.

Anhand dieses Links kann auch ein Dritter die Ergebnisse einsehen.

Dazu kommt, dass VT Dateien nur einmal analysiert. Wenn die Analyse der Dateien länger zurückliegt, kann eine neue Analyse schon ganz andere Ergebnisse erbringen.

[CRT]

Ich habe von Alaska die Bestätigung erhalten, dass meine Dateien dem Original entsprechen:

"...ich glaube, ich kann Sie beruhigen:

o die XPPUI1.DLL entspricht der aus Hotfix Rollup #27
o die XBTNETW.DLL entspricht dem Xbase++ 1.9-Release Level
"
lg
CRT

[Tom]

TrendMicro hat in der vergangenen Woche bei einem Kunden DLLs von uns in Quarantäne genommen, weil die Heuristik darin Verschlüsselungsmechanismen erkannt hat. Das stimmt auch (SHA1 und andere). Ansonsten entsprachen die DLLs beim Binärvergleich unseren ausgelieferten Originalen.

Die Hersteller von Antivirensoftware versuchen halt, irgendwie mit dem Problem - z.B. Locky & Co. - zurechtzukommen. Leider können sich die Hersteller von Viren auch alle verfügbaren Antivirensysteme mit aktuellen Signaturen holen. Ein Hase-und-Igel-Rennen. Verlierer sind die Anwender.

[Herbert]

Musste ich gleich nachschlagen, ich kannte das Märchen nicht.

https://de.wikipedia.org/wiki/Der_Hase_und_der_Igel

[AUGE_OHR]

weil die Heuristik darin Verschlüsselungsmechanismen erkannt hat. Das stimmt auch (SHA1 und andere).

das hat die Heuristik wohl bemerkt das dort "externer" Code ausgeführt wird der gefährlich aussieht.
anders aber bei "Locky & Co" die zur Verschlüsselung die advapi32.dll nutzten was Teil des OS() ist.

Beispiele zum verschlüsseln findet man bei MSDN.
scheinbar kann man "ohne grossen Problem" auf die API von advapi32.dll zugreifen ... hm