Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

8 Seiten V   1 2 3 > »   
Reply to this topicStart new topic
> Aktuelle False Positives / Fehlalarme der AV's, Sammelthread
blueX
Beitrag 25.10.2008, 08:02
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Hier soll ein Sammelthread entstehen, indem über aktuelle Fehlalarme über AV's berichtet wird.

Ich fang dann mal an:

F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.




Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 25.10.2008, 08:42
Beitrag #2






Gäste






Hi

SmartSniff von Nirsoft wird von eSafe als FP erkannt: *Klick*
Bis vor kurzem auch noch von a-squared, dass wurde aber schnell gefixed...

Wer hat Kontakt zu eSafe?


Scrapie
Go to the top of the page
 
+Quote Post
blueX
Beitrag 25.10.2008, 08:44
Beitrag #3


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Die Files, die von eSafe als "Suspicious File" gemeldet werden, werden soweit ich weiss nicht gefixt, solange es keine "bedeutsamen" Files sind.




Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 25.10.2008, 09:13
Beitrag #4






Gäste






Okay, ich schick's mal hin...

a-squared FP bei enzip.exe aus einem alten F-Prot-Archiv: *Klick*


Ich geh'jetzt erst mal zur Arbeit sad.gif,
Scrapie
Go to the top of the page
 
+Quote Post
chris30duew
Beitrag 25.10.2008, 14:39
Beitrag #5



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.419
Mitglied seit: 26.03.2007
Wohnort: Mannheim
Mitglieds-Nr.: 5.972

Betriebssystem:
W8 H 32Bit/ W7 H 32Bit
Virenscanner:
BD2014/ F-Secure2014
Firewall:
BD2014/ F-Secure2014



Avast und somit auch GDATA erkennt die Installationsdatei von Panda IS 2008 oder 2009 als virus. Zahlreiche Beschwerden und eine PM an Gdatamitarbeiter blieben erfolglos. Auch eine e-mail an Avast brachte keine Besserung. AVG hat ebenfalls die Datei bemängelt, hat jedoch 4h nach meiner FP einsendung reagiert und den FP eingeräumt und ihn aus den Signaturen genommen. vorbildlich.
Gdata und auch Avast erkennt in Programm PcTools Registry Cleaner 7 ebenfalls einen Virus. Auch hier bisher alle Beschwerden und Einsendung an die Gdata Ambulanz nach Scan als FP erfolglos. Schwach kann ich nur sagen!
Go to the top of the page
 
+Quote Post
blueX
Beitrag 31.10.2008, 21:45
Beitrag #6


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ... stirnklatsch.gif



Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 31.10.2008, 21:47
Beitrag #7






Gäste






ZITAT(blueX @ 31.10.2008, 21:44) *
Einen Monat ist seit der Meldung bei F-Secure vergangen. Der Fehlalarm (Installationsdatei von WinRaR) besteht immernoch ... stirnklatsch.gif


Überfordere sie doch nicht so. Erst das neue Release, dann gleich drei (zum Teil böse) Sicherheitslücken + einem schwachen Test bei AV-C. Wen interessieren da noch FP´s ? biggrin.gif
Go to the top of the page
 
+Quote Post
blueX
Beitrag 31.10.2008, 21:48
Beitrag #8


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Kannst du das File über das Programm zu denen senden?
Üblicherweise werden solche Einreichungen bevorzugt bearbeitet.




Der Beitrag wurde von blueX bearbeitet: 31.10.2008, 21:48
Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 31.10.2008, 21:50
Beitrag #9






Gäste






ZITAT(blueX @ 31.10.2008, 21:47) *
Kannst du das File über das Programm zu denen senden?


Über das Programm nicht. Aber ich habe so meine 1-2 E-Mail-Adressen, bei denen es ganz flott geht smile.gif . Zumindest, dass sie da draufschauen.
Go to the top of the page
 
+Quote Post
blueX
Beitrag 31.10.2008, 21:53
Beitrag #10


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Wenn du schon dabei bist -> http://www.rokop-security.de/index.php?showtopic=17661
biggrin.gif

Dies erkennen sie auch noch fälschlicherweise.



Go to the top of the page
 
+Quote Post
Gast_Nightwatch_*
Beitrag 31.10.2008, 21:55
Beitrag #11






Gäste






ZITAT(blueX @ 31.10.2008, 21:52) *


Ich habs geahnt. Wird wieder ein stressiger Abend biggrin.gif .

Nein, im Ernst. Werde die beiden Dateien einschicken und dann hoffen. Spätestens Morgen, denn ich muss gleich noch einige berufliche Dinge erledigen.
Go to the top of the page
 
+Quote Post
Gast_Xeon_*
Beitrag 31.10.2008, 23:44
Beitrag #12






Gäste






ZITAT(blueX @ 25.10.2008, 08:01) *
F-Secure erkennt die Original WinRAR-Installationsdatei wrar380d.exe als "Suspicious:W32/Perfloger.o!Gemini".
Der Fehlalarm wurde bereits am 01.10.2008 F-Secure gemeldet - leider hat sich nichts getan.

Kann ich nicht bestätigen, bei mir kommt weder beim herunterladen noch beim Installieren eine derartige Meldung von F-Secure.
Go to the top of the page
 
+Quote Post
Gast_Xeon_*
Beitrag 31.10.2008, 23:46
Beitrag #13






Gäste






ZITAT(blueX @ 31.10.2008, 21:52) *

Kann ich ebenfalls nicht bestätigen,keine Meldung von F-Secure beim starten des Programmes.
Go to the top of the page
 
+Quote Post
blueX
Beitrag 01.11.2008, 10:55
Beitrag #14


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Hast du die Heuristik aktiviert?


Go to the top of the page
 
+Quote Post
Gast_Xeon_*
Beitrag 01.11.2008, 12:02
Beitrag #15






Gäste






ZITAT(blueX @ 01.11.2008, 10:54) *
Hast du die Heuristik aktiviert?

Du meinst den DeepGuard,der läuft.
Go to the top of the page
 
+Quote Post
kurz-pc
Beitrag 15.11.2008, 12:03
Beitrag #16



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 437
Mitglied seit: 11.02.2006
Mitglieds-Nr.: 4.411



ThreatFire/PCTools

VBoxWHQLFake.exe als Worm.AutoIt.s erkannt.
C:\Programme\Sun\xVM VirtualBox Guest Additions\VBoxWHQLFake.exe

http://www.virustotal.com/analisis/fdab050...fa6b06ccc43b420

Datei gehört zur Guest Additions von VirtualBox.

Vor 3 Tagen per Upload Formular gemeldet. Habe es jetzt zusätzlich noch im PCTools Forum geschrieben.

Edit:
Noch mal was gefunden.
UniExtract.exe als Worm.AutoIt.s.

http://www.virustotal.com/analisis/e...fa67ea87713018
http://legroom.net/software/uniextract

Der Beitrag wurde von kurz-pc bearbeitet: 15.11.2008, 12:36


--------------------
Go to the top of the page
 
+Quote Post
kurz-pc
Beitrag 15.11.2008, 14:51
Beitrag #17



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 437
Mitglied seit: 11.02.2006
Mitglieds-Nr.: 4.411



xpy.exe Result: 16/36
Und alles anscheinend ein Fehlalarme.
http://www.virustotal.com/analisis/768ac65...7fc36108c05bf49

http://xpy.whyeye.org/2008/05/16/your-antivirus-says/


--------------------
Go to the top of the page
 
+Quote Post
blueX
Beitrag 15.11.2008, 22:15
Beitrag #18


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.009
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.


Go to the top of the page
 
+Quote Post
Gast_Scrapie_*
Beitrag 16.11.2008, 09:36
Beitrag #19






Gäste






@kurz-pc:

AutoIt ist berüchtigt dafür, dass es von den AV's zu unrecht erkannt wird.
Für Kinder, die selber noch keine richtige Programmiersprache können, ist es oft der Einstieg in ihre große Virenschreiberkarriere.
Damit können sie schnell mit ein paar Klicks und einer handvoll Befehlen Dinge steuern + es kann Eingaben und Mausklicks ausführen. Das Resultat wird dann von Hause aus schon gepackt und augenblicklich springen (die Heuristiken) vieler AV's an, wenn es nur leicht nach AutoIt riecht.

Wenn ich daher im Result AutoIt lese => ab in die VM und selber checken...


Scrapie
Go to the top of the page
 
+Quote Post
kurz-pc
Beitrag 16.11.2008, 13:03
Beitrag #20



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 437
Mitglied seit: 11.02.2006
Mitglieds-Nr.: 4.411



ZITAT(blueX @ 15.11.2008, 22:14) *
Hast du das eingesandt mit Hinweis auf Fehlalarm? Das ist wohl meistens alles durch die Heuristik verursacht.


Jo hab es per threatfire Submite Forular gemacht da gibt es extra hacken für False Positive und Möglichkeit für Beschreiben.


--------------------
Go to the top of the page
 
+Quote Post

8 Seiten V   1 2 3 > » 
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 23.06.2017, 00:51
Impressum