MegaLab.it


http://www.megalab.it/forum/

Falso positivo

./viewtopic.php?f=33&t=42370&start=0

Pagina 1 di 1

Falso positivo

MessaggioInviato: sab apr 12, 2008 8:30 pm
da ssjx
Salve a tutti

ultimamente nel poco tempo libero sto smanettando parecchio al PC e tra i mille esperimenti fatti mi ritrovo con un eseguibile che in teoria non dovrebbe essere affatto un virus ma che molti software di sicurezza rilevano come tale

http://www.virustotal.com/it/analisis/7 ... 9c036375f5

Il programmino mi è molto utile per una cosa che sto facendo quindi volevo un vostro parere in merito... per chi volesse eccolo in allegato

MessaggioInviato: sab apr 12, 2008 9:17 pm
da poppiski
mi dispiace ma non lo apro http://www.prevx.com/filenames/14240808 ... E.EXE.html

MessaggioInviato: sab apr 12, 2008 9:50 pm
da ballacoilupi72
...dunque AVG 8 da me non mi ha rilevato niente ne scansionando l'archivio, ne estraendo il file...
[;)]

MessaggioInviato: dom apr 13, 2008 5:40 am
da ste_95
Avira non dice nulla. Si può sapere e che cosa serve il programmino? Magari è l'euristica degli antivirus che ceffa.

MessaggioInviato: dom apr 13, 2008 7:41 am
da ziofil
Nod 32 idem tutto ok...

Re: Falso positivo

MessaggioInviato: dom apr 13, 2008 1:45 pm
da ste_95
ssjx ha scritto:Il programmino mi è molto utile per una cosa che sto facendo quindi volevo un vostro parere in merito... per chi volesse eccolo in allegato

C'entra qualcosa con Antivir?
A quanto pare crea solo un file: %Temp%\1.tmp.

MessaggioInviato: dom apr 13, 2008 2:13 pm
da ssjx
Allora il programmino ha per l'appunto a che fare con Antivir in quanto mi permette di eseguire l'aggiornamento in automatico delle firme usando la versione commandline.... ci sto ancora lavorando (molto saltuariamente) ma sono già a buon punto

qualche giorno fa però kasperky ha cominciato a segnalarmelo come virus e lì mi è venuto il dubbio... caricato su virustotal molti altri antivirus si comportano allo stesso modo

a questo punto non saprei... immagino che pensino sia un virus perché automatizza procedure eseguite tramite file .bat .... ma è una mia supposizione [uhm]

MessaggioInviato: dom apr 13, 2008 2:21 pm
da ste_95
Kaspersky lo riconosce appunto come file che scarica "Qualcosa" da un URL. Non ci sono istruzioni che potrebbero essere viste come nocive dall'euristica, o magari pezzi di agenti nocivi già nelle firme.

MessaggioInviato: dom apr 13, 2008 2:24 pm
da ssjx
ste_95 ha scritto:Non ci sono istruzioni che potrebbero essere viste come nocive dall'euristica, o magari pezzi di agenti nocivi già nelle firme.


non ho capito se è una domanda (e non saprei la risposta) o no...

MessaggioInviato: dom apr 13, 2008 2:26 pm
da ste_95
In realtà era una domanda, perché francamente credo che la causa possa essere solo quella. [fischio]

MessaggioInviato: dom apr 13, 2008 2:47 pm
da ssjx
Onestamente non saprei che dirti... ti mando l'eseguibile originale (ovvero il pacchetto completo... questo b2e è solo una parte) così se vuoi puoi giocarci anche tu [:)]

MessaggioInviato: dom apr 13, 2008 5:01 pm
da ste_95
Falso positivo lo è sicuramente, ma credo capirai che si tratta comunque di un file che si connette a server remoti e scarica file, e quindi ha tutte le caratteristiche di un dropper.

MessaggioInviato: dom apr 13, 2008 5:08 pm
da ssjx
bene ed anche questo arcano è risolto [^]
Tutti gli orari sono UTC + 1 ora [ ora legale ]
Pagina 1 di 1
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/