Lo strano caso di allwindowssoft

[Daygon]

Salve a tutti, non frequento abitualmente questa sezione, quindi se scriverò qualche imprecisione, chiedo venia.

Andate sul sito: www.allwindowssoft.com

Provate a scaricare un qualunque file, ad esempio "another block", che nonags suggerisce di scaricare dal link http://www.allwindowssoft.com/content/view/29/29/ , sebbene esista una versione pulita del file su http://anotherblock.sourceforge.net/

Antivir lo segnala come trojan (agent dropper mi pare), ma pochi altri antivirus lo riconoscono come trojan, però a me dà tutti i sospetti che lo sia. (nè kasp, nè mcafee, nè norton lo riconoscono)

Sono andato a vedere sul site advisor di mcafee dove hanno analizzato lo stesso file a maggio (ho controllato l'MD5 ed è lo stesso ) e non hanno notato niente

Se è anche secondo voi un virus, io mi chiedo come abbia fatto a passare inosservato per così tanto tempo dai principali antivirus??

[Gianky....! :D :)]

Allora; ho fatto scansionare il file su virus total e tutti gli antivirus tranne uno (prevx) lo segnalano come pulito...
Penso sia solo un falso positivo ed inoltre pensa che la tua euristica sia impostata ad un livello troppo alto (più il livello è alto, più falsi-positivi riceverai)
Risultati

Ciao


P.S. Ho scaricato il file nella pagina da te indicata cliccando in alto download.

[Daygon]

Quote:

Originariamente inviato da Gianky....! :D :)

Allora; ho fatto scansionare il file su virus total e tutti gli antivirus tranne uno (prevx) lo segnalano come pulito...
Penso sia solo un falso positivo ed inoltre pensa che la tua euristica sia impostata ad un livello troppo alto (più il livello è alto, più falsi-positivi riceverai)
Risultati

Ciao


P.S. Ho scaricato il file nella pagina da te indicata cliccando in alto download.

quello è il file pulito del gioco opensource.
Il file infetto lo devi scaricare da: http://www.allwindowssoft.com/content/view/29/29/

Ad essere infetta è la dll che installa in System32

[Gianky....! :D :)]

Quote:

Originariamente inviato da Daygon

quello è il file pulito del gioco opensource.
Il file infetto lo devi scaricare da: http://www.allwindowssoft.com/content/view/29/29/

Ad essere infetta è la dll che installa in System32

Siamo sempre lì più o meno.
Cmq antivir è silenzioso , è ewido che si lamenta
Panda lo dà sospetto

Risultati

[Daygon]

Quote:

Originariamente inviato da Gianky....! :D :)

Siamo sempre lì più o meno.
Cmq antivir è silenzioso , è ewido che si lamenta
Panda lo dà sospetto

Risultati

Devi mandare in upload la dll che installa in system32 non il file exe compresso!

[xcdegasp]

cmq non capisco dove sia il problema...

Codice:

Antivirus  	Versione  	Ultimo aggiornamento  	Risultato
AhnLab-V3	2007.10.8.0	2007.10.08	-
AntiVir	7.6.0.20	2007.10.08	-
Authentium	4.93.8	2007.10.05	-
Avast	4.7.1051.0	2007.10.08	-
AVG	7.5.0.488	2007.10.08	-
BitDefender	7.2	2007.10.08	-
CAT-QuickHeal	9.00	2007.10.08	-
ClamAV	0.91.2	2007.10.08	-
DrWeb	4.44.0.09170	2007.10.08	-
eSafe	7.0.15.0	2007.10.07	-
eTrust-Vet	31.2.5190	2007.10.06	-
Ewido	4.0	2007.10.08	Dropper.Agent.ahr
FileAdvisor	1	2007.10.08	-
Fortinet	3.11.0.0	2007.10.08	-
F-Prot	4.3.2.48	2007.10.06	-
F-Secure	6.70.13030.0	2007.10.08	-
Ikarus	T3.1.1.12	2007.10.08	-
Kaspersky	7.0.0.125	2007.10.08	-
McAfee	5135	2007.10.05	-
Microsoft	1.2908	2007.10.08	-
NOD32v2	2577	2007.10.08	-
Norman	5.80.02	2007.10.08	-
Panda	9.0.0.4	2007.10.08	Suspicious file
Prevx1	V2	2007.10.08	-
Rising	19.44.02.00	2007.10.08	-
Sophos	4.22.0	2007.10.08	-
Sunbelt	2.2.907.0	2007.10.06	-
Symantec	10	2007.10.08	-
TheHacker	6.2.6.079	2007.10.07	-
VBA32	3.12.2.4	2007.10.08	-
VirusBuster	4.3.26:9	2007.10.08	-
Webwasher-Gateway	6.0.1	2007.10.08	-
Informazioni addizionali
File size: 2809856 bytes
MD5: f74e010794d0cb273f344a7dc11e5f5d
SHA1: 6858ff4bf08a2d5d832a2d596f5ff57e949ff9db

come tu stesso affermi è un progetto presente su sourceforge.com ed è fermo al 2005 quindi se quel sito afferma che possiedono la versione del 2007 è evidente che ci sia qualcosa che non va


e come mai ti rende stupefatto l'idea che possano contenere un trojan quei file scaricabili da quel sito?

[Gianky....! :D :)]

Quote:

Originariamente inviato da Daygon

Devi mandare in upload la dll che installa in system32 non il file exe compresso!

Non lo installerò mai!
Cmq prendi la dll e la uploadi su virustotal ciao

[Daygon]

Quote:

Originariamente inviato da xcdegasp

cmq non capisco dove sia il problema...

cut
come tu stesso affermi è un progetto presente su sourceforge.com ed è fermo al 2005 quindi se quel sito afferma che possiedono la versione del 2007 è evidente che ci sia qualcosa che non va


e come mai ti rende stupefatto l'idea che possano contenere un trojan quei file scaricabili da quel sito?

beh mi stupisce che sebbene il file sia lo stesso di maggio, gli antivirus non lo becchino, e mi stupisce anche che il sito sia linkato su nonags, che credevo fosse un sito "onesto" (è anche inserito nella lista dei programmi freeware di hardware upgrade se non erro... )

[xcdegasp]

il programma in se è onesto ma se scaricato dai posti giusti

[Daygon]

Quote:

Originariamente inviato da xcdegasp

il programma in se è onesto ma se scaricato dai posti giusti

sì grazie ma nonags linka proprio il sito di allwindowssoft!

http://www.nonags.com/nonags/gmtetr.html