So prüfen Sie, ob ein Antiviren-Virus falsch ist


3

Kaspersky Rescue 10 wurde über Nacht ausgeführt, und das System wurde bis auf eine obskure Verknüpfung (eine unter Hunderten) sauber. Kaspersky meldet den Trojaner als:

trojan-downloader.win32.pif.xx

und nach dieser Microsoft-Link Kaspersky hätte tatsächlich eine gültige Infektion finden können. Ich habe die .lnk-Datei sorgfältig in einem Binäreditor und im Editor überprüft, ohne dass dies offensichtlich verdächtig war.

Virenscanner verwenden verschiedene ausgefeilte Heuristiken (z. B. SHA256-Hashes), um Infektionen zu erkennen. Diese sind jedoch anfällig für falsch positive Ergebnisse. Kann man manuell feststellen, ob die Verknüpfung infiziert ist oder ob Kaspersky gerade auf ein (seltenes) falsches Positiv gestoßen ist?

AKTUALISIEREN

ich habe das gefunden Online-Scanner . Nach dem Hochladen meiner .lnk-Datei hat Kaspersky den oben genannten Trojaner erneut gefunden ... aber 55 andere Scanner haben nichts gefunden. Die Verknüpfung führte diesen Befehl aus:

%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat

Nach einer geringfügigen Änderung des Entfernens /low Ab dem obigen Befehl zeigt jeder Scanner die Verknüpfung jetzt als sauber an, einschließlich Kaspersky. Ich habe auch gescannt cmd.exe, die Batch-Datei selbst und einige andere Verknüpfungen mit ähnlichen Befehlen. Nichts erkannt.

Mit einem hohen Maß an Vertrauen scheint dies ein falsches Positiv zu sein.


Sie können nur prüfen, ob ein Virus vorliegt oder nicht. Da Sie dafür in erster Linie einen Scanner benötigen, lautet die Antwort: Mit verschiedenen Scannern scannen. Beachten Sie jedoch, dass ein anderes Programm diesen Virus möglicherweise nicht findet, da es nicht weiß, wie es danach scannt. es reicht nicht aus, nur die Binärdaten einer Datei zu überprüfen.
LPChip

Ihr Microsoft-Link funktioniert nicht
manjesh23

2
@ manjesh23 es funktioniert bei mir.
LPChip

@LPChip, dann nicht sicher, was mit meiner Maschine los ist. Danke für das Update.
manjesh23

@Ramhound: Es war "OPC an USB.lnk senden", wenn Sie denken, dass der Name relevant ist. Dies war eine von vielen Verknüpfungen zu vielen Batch-Dateien, die ich für verschiedene C ++ - und Delphi-Entwicklungsprojekte verwende. Alle Verknüpfungen und Batch-Dateien wurden von mir erstellt oder geschrieben. Dass Kaspersky diese obskure Abkürzung als Bedrohung kennzeichnete, ließ mich sofort "falsch positiv" denken, daher die Frage.
AlainD

Antworten:


2

Ein "falsches Positiv" ist definiert als der Zeitpunkt, zu dem die Anti-Malware-Software ein Problem festgestellt hat, das jedoch nicht bösartig war. Es gibt keinen todsicheren direkten einfachen Prozess, der ein falsches Positiv zu 100% ausschließt. Wenn dies der Fall wäre, würden wir diese Technik automatisieren und diesen Teil der Anti-Malware-Software hinzufügen.

Also die Antwort auf Ihre Frage,

Msgstr "Gibt es eine manuelle Möglichkeit, dies endgültig festzustellen?"

ist: nur eine. Auf diese Weise können Sie die Bedrohung, die Sie in Notepad gemeldet haben, manuell analysieren. Wenn Sie über ausreichende Fachkenntnisse verfügen (z. B. das Format der Datei kennen und wissen, was sie kann), haben Sie alles getan, was Sie "definitiv" tun können. Das ist alles, was die weltweit besten Anti-Malware-Autoren / Experten leisten können. Es gibt nichts "Definitiveres" und keinen anderen einfacheren Prozess, der "Definitiveres" ist.

Ein Ansatz, den Sie verwenden können, besteht darin, dies zur Abstimmung zu bringen. Laden Sie die Datei auf hoch http://VirusTotal.com und sehen Sie schnell, was andere Anti-Malware von der Datei hält.

Anbieter von Anti-Malware-Software veröffentlichen häufig weitere Informationen zu erkannten Bedrohungen auf ihrer Website. Die Suche nach "Kaspersky Threat Database" führte mich zu Kaspersky VirusWatchLite. Anschließend können Sie "trojan-downloader.win32.pif.xx" in das Filterfeld eingeben. Dies zeigt, dass Kaspersky die Bedrohung im April 2010 hinzugefügt hat. Diese Bedrohung scheint keinen Hyperlink zu weiteren Informationen zu haben.

Oder suchen Sie im Web nach "trojan-downloader.win32.pif.xx". Dies zeigte mir, dass "trojan-downloader.win32.pif.us" einige Informationen dazu hatte, wobei das oberste Google-Suchergebnis der von Ihnen bereitgestellte Microsoft-Hyperlink war. Anscheinend haben Sie diesen Pfad bereits zum Auschecken gefunden.

Letztendlich müssen Sie, da der Prozess der Feststellung, ob etwas tatsächlich bösartig ist, eine Entscheidung trifft, die nicht vollständig automatisierbar ist, letztendlich Ihre eigene Entscheidung treffen.

Aktualisieren: Ich sehe jetzt dein Update. (Ich weiß nicht, wie ich es verpasst habe.) Wie ich sehe, haben Sie auch VirusTotal gefunden. Nun, es sieht so aus, als ob Sie die richtigen Ansätze finden. Betrachten Sie meine Antwort als Vertrauensbeweis, dass Sie die richtigen Dinge tun. Betrachten Sie sich als zufrieden. Oder, wenn Sie das nicht können, spielen Sie weiter damit, lernen Sie das genaue Format einer Windows-Verknüpfung kennen und überprüfen Sie jedes einzelne Byte in einem Hex-Editor.


Vielen Dank. VirusTotal war nützlich, weil Sie sehen konnten, was mehrere Virenscanner "gedacht" haben. Es war hilfreich zu sehen, dass Kaspersky auf der Website genau dieselbe Warnung auslöst wie bei einem lokalen Scan (und alle anderen erkennen nichts). Ich weiß, dass Scanner zur Erkennung von Bedrohungen Heuristiken verwenden müssen, da diese sonst zu langsam sind, um in Echtzeit verwendet zu werden. Aber selbst clevere Faustregeln schlagen gelegentlich fehl und geben falsche Positivmeldungen ab oder erkennen echte Bedrohungen nicht. So ist das Leben.
AlainD
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.