Conflitto di savoir fair tra software house antivirus

c.m.g · 18-09-2008, 16:48

salve ragazzi,
vi racconto una storia che mi è successa oggi: ho provato minivir sul pc di un utente che aveva mille schifezzeware.
Tra le mille cose che antivir mi segnala, c'è un file di nome xmldis.dll che me lo da come TR/Crypt.XPACK.Gen. ho inviato il file su virustotal e mi da questo risultato:

http://www.virustotal.com/it/analisi...346c42dd410ecf

Ho inviato il file alla kasperlab e mi hanno risposto così:

Codice:

Hello.
No malicious software was found in the attached file. 

Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Temnikov Sergey
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: [email protected]
http://www.kaspersky.com http://www.viruslist.com

Poi ho rinviato il file ad avira convinto che fosse un falso positivo (l'ho anche indicato nel form che c'è nel sito) e un messaggio automatico mi ha risposto così:

Quote:

Suspicious Files and Miscellaneous Uploads

Thank you for your submission. Below you can see the current status of the uploaded files.

A listing of files alongside their results can be found below:File ID Filename Size (Byte) Result
25136554 xmldis.VIR 63 KB MALWARE

Please find a detailed report concerning each individual sample below: Filename Result
xmldis.VIR MALWARE

The file 'xmldis.VIR' has been determined to be 'MALWARE'. Our analysts named the threat TR/Crypt.XPACK.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.171. Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: TR/Crypt.XPACK.Gen.

Cosa ne pensate?

a voi i commenti.

Nuz · 18-09-2008, 17:51

Il file è di 62.464 bytes? Se ricavi l'hash MD5 si può fare un ulteriore confronto anche con questo report:

http://www.threatexpert.com/report.a...4-05a48e301010

Edit: ho visto ora che è di 64512 bytes, il file è in analisi anche da Prevx, che pr ora lo giudica Undetermined:

http://spywaredlls.prevx.com/ssIHGI4.../XMLDmore.html

Che sia una nuova variante?

Di certo una delle due software house ha preso un granchio.

c.m.g · 18-09-2008, 18:10

infatti, l'MD5 potevi vederlo direttamente dall'analisi fatta da virustotal. riporto le informazioni addizionali del file:

Codice:

Informazioni addizionali
File size: 64512 bytes
MD5...: 49be17bef08db8f9fcbee2894d78cc6f
SHA1..: 07fd5c9998ed8a69932e73da773a6a275571f916
SHA256: ac51063c025c3a9b2bc65902c1d2c6e631c2d296000c4b8a61929e2cc5ce2336
SHA512: 6ee3481806dc9123c7fee36f15677cb00096ed756b8a54a93ab87587d0385ba1
80c0234843ca36e0785df22cef85d243bbddd3a8e14db47ae81770bd79b5de17
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7223ae0a
timedatestamp.....: 0x48c8bc3e (Thu Sep 11 06:35:42 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd6a4 0xd800 7.97 fc3a3be0a26f1f83c1dcf2816ac253b4
.rdata 0xf000 0x990 0xa00 7.77 232d2dd2cb2c5620ec261b9396673412
.data 0x10000 0xdc8 0xe00 7.88 f62f34818d7971743f14fcc5a6241e66
.reloc 0x11000 0x6c0 0x800 7.26 3044624804f0d240a5fcebd1261d7da3

( 0 imports ) 

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=19B6250E00C97083FCF900D195A96600E7948820

Nuz · 18-09-2008, 18:20

Qui l'analisi dello stesso file, ma con il nome di kdebug.dll:

http://virscan.org/report/a2a069d8c1...aa0191f4a.html

c.m.g · 19-09-2008, 06:59

dai link che mi hai fornito, prevx me lo da come malware, thread expert pure, quindi a mio avviso, credo che la cantonata sia di kaspersky. per me è malware.

c.m.g · 19-09-2008, 07:03

ora faccio una cosa: invio il sample a un po' di case antivirus

c.m.g · 19-09-2008, 10:05

risposta f-secure che ha lo stesso engine kaspersky:

Quote:

Hello,

Thank you for your e-mail.

The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.

Our latest database updates are available here:

http://www.f-secure.com/download-purchase/updates.shtml

Have a nice day!

quindi ancora una volta credo sono sempre più convinto della cantonata di kaspersky per cui ho fatto un sollecito.

c.m.g · 20-09-2008, 08:35

kaspersky continua ad asserire che non vi sia niente di malevolo nel file, anche dopo sollecitazione.

questa è la risposta:

Quote:

Hello.
No malicious software was found in the attached file.

io ci rinuncio...

**Chill-Out** · 20-09-2008, 10:27

Quote:

Originariamente inviato da c.m.g

kaspersky continua ad asserire che non vi sia niente di malevolo nel file, anche dopo sollecitazione.

questa è la risposta:

io ci rinuncio...

Ciao insisti io ci ho messo circa un mese

a convincere Symantec che questo è un Trojan http://www.virustotal.com/it/analisi...a8f3baab3297e7 e per ben due volte mi hanno risposto che il file era pulito

MD5: a3a43e1aa4844c2d2a39b69aa1040b9a
First received: 2008.08.12 22:43:01 (CET)
Data 2008.09.16 11:01:42 (CET) [>3D]

in data 16.09.08 lo dava ancora pulito.

c.m.g · 20-09-2008, 10:33

chi se ne ....

io nel frattempo ho cambiato configurazione di sicurezza: antivir premium + online armor a pagamento

**Chill-Out** · 20-09-2008, 10:42

Quote:

Originariamente inviato da c.m.g

chi se ne ....

io nel frattempo ho cambiato configurazione di sicurezza: avntivir premium + online armor a pagamento

xcdegasp · 20-09-2008, 11:58

ebbravo

c.m.g · 20-09-2008, 20:25

Quote:

Originariamente inviato da Chill-Out

lo so, alla fine l'ho fatto, mi son deciso

ho già fatto tanto per questa software house, se poi devono anche "tirarsela" quando gli segnali qualcosa, vuol dire che c'è qualcosa che non va

resta il fatto che il kis, ancora, risulta essere la miglior suite completa del mercato (parlo di suite e unica pecca un po' la rilevazione) ma firewall e altre cose, sono ok.

p.s.: tranquilli, non esco pazzo a mettermi il norton

**Chill-Out** · 20-09-2008, 20:54

Quote:

Originariamente inviato da c.m.g

p.s.: tranquilli, non esco pazzo a mettermi il norton

c.m.g · 21-09-2008, 10:03

la risposta di fortinet:

Quote:

Dear Customer,

Thank you for submitting the sample to us. Our analyst shows that it's a virus. We will include detection in the next regular update.

The sample you submitted will be detected as follows:
xmldis.VIR-Adware/Vundo

Best Regards,
AV Lab - zxxu

c.m.g · 21-09-2008, 10:55

@chill-out: ti invito a vedere la mia nuova firma

**Chill-Out** · 21-09-2008, 22:22

Quote:

Originariamente inviato da c.m.g

@chill-out: ti invito a vedere la mia nuova firma

c.m.g · 22-09-2008, 09:49

* sorry, doppio post involontario

c.m.g · 22-09-2008, 09:49

beh con i dati in possesso in quel momento avevo quel quadro generale, ora ne ho un'altro. al momento, il kasper, sta veramente prendendo una brutta piega. sicuiramente si riprenderà a breve, nel frattempo avira antivir ha la mia piena fiducia, come lo ha sempre avuta

@chill-out:
non fare così, ci ritornerò sicuramente, magari in tempi migliori.
comunque mi ero troppo abituato al kis, in avira ci sono molte cose in meno

sampei.nihira · 22-09-2008, 10:51

Quote:

Originariamente inviato da c.m.g

@chill-out: ti invito a vedere la mia nuova firma

Si ma c'è ancora la "Kappa" nell'avatar, c.m.g. ,eradicala definitivamente altrimenti mi prendi la brutta piega del Norton !!

18-09-2008, 17:51	#2
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Il file è di 62.464 bytes? Se ricavi l'hash MD5 si può fare un ulteriore confronto anche con questo report: http://www.threatexpert.com/report.a...4-05a48e301010 Edit: ho visto ora che è di 64512 bytes, il file è in analisi anche da Prevx, che pr ora lo giudica Undetermined: http://spywaredlls.prevx.com/ssIHGI4.../XMLDmore.html Che sia una nuova variante? Di certo una delle due software house ha preso un granchio. __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No. Ultima modifica di Nuz : 18-09-2008 alle 17:57.

18-09-2008, 18:20	#4
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Qui l'analisi dello stesso file, ma con il nome di kdebug.dll: http://virscan.org/report/a2a069d8c1...aa0191f4a.html __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

19-09-2008, 06:59	#5
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	dai link che mi hai fornito, prevx me lo da come malware, thread expert pure, quindi a mio avviso, credo che la cantonata sia di kaspersky. per me è malware. __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 19-09-2008 alle 07:41.

19-09-2008, 07:03	#6
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	ora faccio una cosa: invio il sample a un po' di case antivirus __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

20-09-2008, 10:33	#10
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	chi se ne .... io nel frattempo ho cambiato configurazione di sicurezza: antivir premium + online armor a pagamento __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 21-09-2008 alle 09:05.

20-09-2008, 11:58	#12
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ebbravo __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-09-2008, 10:55	#16
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	@chill-out: ti invito a vedere la mia nuova firma __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

22-09-2008, 09:49	#18
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	* sorry, doppio post involontario __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 23-09-2008 alle 21:21.

Strumenti
Mostra una versione stampabile Invia questa pagina per email