View Full Version : Conflitto di savoir fair tra software house antivirus
salve ragazzi,
vi racconto una storia che mi è successa oggi: ho provato minivir sul pc di un utente che aveva mille schifezzeware.
Tra le mille cose che antivir mi segnala, c'è un file di nome xmldis.dll che me lo da come TR/Crypt.XPACK.Gen. ho inviato il file su virustotal e mi da questo risultato:
http://www.virustotal.com/it/analisis/b9462df9935867010f346c42dd410ecf
Ho inviato il file alla kasperlab e mi hanno risposto così:
Hello.
No malicious software was found in the attached file.
Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Temnikov Sergey
Virus Analyst, Kaspersky Lab.
Ph.: +7(495) 797-8700
E-mail:
[email protected]
http://www.kaspersky.com http://www.viruslist.com
Poi ho rinviato il file ad avira convinto che fosse un falso positivo (l'ho anche indicato nel form che c'è nel sito) e un messaggio automatico mi ha risposto così:
Suspicious Files and Miscellaneous Uploads
Thank you for your submission. Below you can see the current status of the uploaded files.
A listing of files alongside their results can be found below:File ID Filename Size (Byte) Result
25136554 xmldis.VIR 63 KB MALWARE
Please find a detailed report concerning each individual sample below: Filename Result
xmldis.VIR MALWARE
The file 'xmldis.VIR' has been determined to be 'MALWARE'. Our analysts named the threat TR/Crypt.XPACK.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.171. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: TR/Crypt.XPACK.Gen.
Cosa ne pensate?
a voi i commenti. :rolleyes:
Il file è di 62.464 bytes? Se ricavi l'hash MD5 si può fare un ulteriore confronto anche con questo report:
http://www.threatexpert.com/report.aspx?uid=855d34f5-8df3-4ce3-9e24-05a48e301010
:)
Edit: ho visto ora che è di 64512 bytes, il file è in analisi anche da Prevx, che pr ora lo giudica Undetermined:
http://spywaredlls.prevx.com/ssIHGI44688371/XMLDmore.html
Che sia una nuova variante?
Di certo una delle due software house ha preso un granchio.
infatti, l'MD5 potevi vederlo direttamente dall'analisi fatta da virustotal. riporto le informazioni addizionali del file:
Informazioni addizionali
File size: 64512 bytes
MD5...: 49be17bef08db8f9fcbee2894d78cc6f
SHA1..: 07fd5c9998ed8a69932e73da773a6a275571f916
SHA256: ac51063c025c3a9b2bc65902c1d2c6e631c2d296000c4b8a61929e2cc5ce2336
SHA512: 6ee3481806dc9123c7fee36f15677cb00096ed756b8a54a93ab87587d0385ba1
80c0234843ca36e0785df22cef85d243bbddd3a8e14db47ae81770bd79b5de17
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x7223ae0a
timedatestamp.....: 0x48c8bc3e (Thu Sep 11 06:35:42 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd6a4 0xd800 7.97 fc3a3be0a26f1f83c1dcf2816ac253b4
.rdata 0xf000 0x990 0xa00 7.77 232d2dd2cb2c5620ec261b9396673412
.data 0x10000 0xdc8 0xe00 7.88 f62f34818d7971743f14fcc5a6241e66
.reloc 0x11000 0x6c0 0x800 7.26 3044624804f0d240a5fcebd1261d7da3
( 0 imports )
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=19B6250E00C97083FCF900D195A96600E7948820
Qui l'analisi dello stesso file, ma con il nome di kdebug.dll:
http://virscan.org/report/a2a069d8c1b74a00cdf7a2aaa0191f4a.html
dai link che mi hai fornito, prevx me lo da come malware, thread expert pure, quindi a mio avviso, credo che la cantonata sia di kaspersky. per me è malware.
ora faccio una cosa: invio il sample a un po' di case antivirus
risposta f-secure che ha lo stesso engine kaspersky:
Hello,
Thank you for your e-mail.
The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
Our latest database updates are available here:
http://www.f-secure.com/download-purchase/updates.shtml
Have a nice day!
quindi ancora una volta credo sono sempre più convinto della cantonata di kaspersky per cui ho fatto un sollecito.
kaspersky continua ad asserire che non vi sia niente di malevolo nel file, anche dopo sollecitazione. :muro: :rolleyes:
questa è la risposta:
Hello.
No malicious software was found in the attached file.
io ci rinuncio... :stordita:
Chill-Out
20-09-2008, 10:27
kaspersky continua ad asserire che non vi sia niente di malevolo nel file, anche dopo sollecitazione. :muro: :rolleyes:
questa è la risposta:
io ci rinuncio... :stordita:
Ciao insisti io ci ho messo circa un mese :D a convincere Symantec che questo è un Trojan http://www.virustotal.com/it/analisis/88e557324d84ce080aa8f3baab3297e7 e per ben due volte mi hanno risposto che il file era pulito :asd:
MD5: a3a43e1aa4844c2d2a39b69aa1040b9a
First received: 2008.08.12 22:43:01 (CET)
Data 2008.09.16 11:01:42 (CET) [>3D]
in data 16.09.08 lo dava ancora pulito.
chi se ne .... :D io nel frattempo ho cambiato configurazione di sicurezza: antivir premium + online armor a pagamento :D
Chill-Out
20-09-2008, 10:42
chi se ne .... :D io nel frattempo ho cambiato configurazione di sicurezza: avntivir premium + online armor a pagamento :D
:eekk: ;)
xcdegasp
20-09-2008, 11:58
ebbravo :p
:eekk: ;)
lo so, alla fine l'ho fatto, mi son deciso :D ho già fatto tanto per questa software house, se poi devono anche "tirarsela" quando gli segnali qualcosa, vuol dire che c'è qualcosa che non va :fagiano:
resta il fatto che il kis, ancora, risulta essere la miglior suite completa del mercato (parlo di suite e unica pecca un po' la rilevazione) ma firewall e altre cose, sono ok.
p.s.: tranquilli, non esco pazzo a mettermi il norton :sofico: :ciapet:
Chill-Out
20-09-2008, 20:54
p.s.: tranquilli, non esco pazzo a mettermi il norton :sofico: :ciapet:
:rotfl:
la risposta di fortinet:
Dear Customer,
Thank you for submitting the sample to us. Our analyst shows that it's a virus. We will include detection in the next regular update.
The sample you submitted will be detected as follows:
xmldis.VIR-Adware/Vundo
Best Regards,
AV Lab - zxxu
@chill-out: ti invito a vedere la mia nuova firma :D :asd:
Chill-Out
21-09-2008, 22:22
@chill-out: ti invito a vedere la mia nuova firma :D :asd:
:cry: ;)
* sorry, doppio post involontario
beh con i dati in possesso in quel momento avevo quel quadro generale, ora ne ho un'altro. al momento, il kasper, sta veramente prendendo una brutta piega. sicuiramente si riprenderà a breve, nel frattempo avira antivir ha la mia piena fiducia, come lo ha sempre avuta :D
@chill-out:
non fare così, ci ritornerò sicuramente, magari in tempi migliori.
comunque mi ero troppo abituato al kis, in avira ci sono molte cose in meno :fagiano:
sampei.nihira
22-09-2008, 10:51
@chill-out: ti invito a vedere la mia nuova firma :D :asd:
Si ma c'è ancora la "Kappa" nell'avatar, c.m.g. ,eradicala definitivamente altrimenti mi prendi la brutta piega del Norton !! :D :D
Si ma c'è ancora la "Kappa" nell'avatar, c.m.g. ,eradicala definitivamente altrimenti mi prendi la brutta piega del Norton !! :D :D
ti piace così? non so se si capisce il senso!!! :asd: :ciapet:
p.s.: io e il norton non centriamo nulla :ciapet:
Chill-Out
22-09-2008, 15:48
ti piace così? non so se si capisce il senso!!! :asd: :ciapet:
:D
un'immagine vale più di mille parole :D
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.