Kaspersky Rescue 10 wurde über Nacht ausgeführt, und das System wurde bis auf eine obskure Verknüpfung (eine unter Hunderten) sauber. Kaspersky meldet den Trojaner als:
trojan-downloader.win32.pif.xx
und nach dieser Microsoft-Link Kaspersky hätte tatsächlich eine gültige Infektion finden können. Ich habe die .lnk-Datei sorgfältig in einem Binäreditor und im Editor überprüft, ohne dass dies offensichtlich verdächtig war.
Virenscanner verwenden verschiedene ausgefeilte Heuristiken (z. B. SHA256-Hashes), um Infektionen zu erkennen. Diese sind jedoch anfällig für falsch positive Ergebnisse. Kann man manuell feststellen, ob die Verknüpfung infiziert ist oder ob Kaspersky gerade auf ein (seltenes) falsches Positiv gestoßen ist?
AKTUALISIEREN
ich habe das gefunden Online-Scanner . Nach dem Hochladen meiner .lnk-Datei hat Kaspersky den oben genannten Trojaner erneut gefunden ... aber 55 andere Scanner haben nichts gefunden. Die Verknüpfung führte diesen Befehl aus:
%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat
Nach einer geringfügigen Änderung des Entfernens /low
Ab dem obigen Befehl zeigt jeder Scanner die Verknüpfung jetzt als sauber an, einschließlich Kaspersky. Ich habe auch gescannt cmd.exe
, die Batch-Datei selbst und einige andere Verknüpfungen mit ähnlichen Befehlen. Nichts erkannt.
Mit einem hohen Maß an Vertrauen scheint dies ein falsches Positiv zu sein.