www.MegaLab.it

da **Sabbb** » mer nov 10, 2010 5:49 pm

Ragazzi,non trovo il setup per la versione 9 di Avira.Qualcuno sa dove posso scaricarla? Ovviamente siti attendibili.grazie..

da **sampei.nihira** » mer nov 10, 2010 5:56 pm

Ho fatto io:

https://www.virustotal.com/file-scan/re ... 1289407810

Ho inviato il file ad Avira catalogandolo come FP prima di avere il responso di Virustotal sopra:

http://analysis.avira.com/samples/detai ... O8B2PAqbCS

Mi manderanno una e-mail successivamente con la data di firme che risolvono il FP.

p.s. Ma levate quel link se non era un FP......

p.s. Notate che io per VT uso (per quel che vale....) il sito HTTPS e non quello dell'estensione messa in evidenza che propone a default il HTTP.

da **Ale2695** » mer nov 10, 2010 5:57 pm

Benissimo, quindi era solo un falso positivo, come sospettavo.

da **Ale2695** » mer nov 10, 2010 5:57 pm

Sabbb ha scritto:Ragazzi,non trovo il setup per la versione 9 di Avira.Qualcuno sa dove posso scaricarla? Ovviamente siti attendibili.grazie..

Ehm... sinceramente non lo trovo... ma comunque tieni lo stesso la versione 10, quello è stato solo un falso positivo che risolveranno a breve

da **sampei.nihira** » mer nov 10, 2010 6:01 pm

Ale2695 ha scritto:Benissimo, quindi era solo un falso positivo, come sospettavo.

Si Ale,questa volta è un FP, ma qualche volta i link phishing contengono anche malware.
Meglio in futuro prevenire. [;)]

Ciao buona serata. [:)]

da **Sabbb** » mer nov 10, 2010 6:02 pm

Quindi è confermato?Falso positivo? Scusa sampei ma da dove lo hai preso il file? E grazie per l'aiuto [;)]

a buon rendere.. [:)]

da **Ale2695** » mer nov 10, 2010 6:03 pm

sampei.nihira ha scritto:
Ale2695 ha scritto:Benissimo, quindi era solo un falso positivo, come sospettavo.

Si Ale,questa volta è un FP, ma qualche volta i link phishing contengono anche malware.
Meglio in futuro prevenire.
Ciao buona serata.

Aspetta un attimo: il problema si è creato per colpa del link che ho messo nell'altro messaggio?!

da **sampei.nihira** » mer nov 10, 2010 6:05 pm

Ale2695 ha scritto:
sampei.nihira ha scritto:
Ale2695 ha scritto:Benissimo, quindi era solo un falso positivo, come sospettavo.

Si Ale,questa volta è un FP, ma qualche volta i link phishing contengono anche malware.
Meglio in futuro prevenire.
Ciao buona serata.

Aspetta un attimo: il problema si è creato per colpa del link che ho messo nell'altro messaggio?!

A me pare.... [;)]

da **sampei.nihira** » mer nov 10, 2010 6:06 pm

Sabbb ha scritto:Quindi è confermato?Falso positivo? Scusa sampei ma da dove lo hai preso il file? E grazie per l'aiuto a buon rendere..

Ho aperto (varie volte ma prima avevo da fare....) il topic di Ale quello delle Poste.
Poi il file l'ho reperito dove stava ovviamente. [:)]

da **Ale2695** » mer nov 10, 2010 6:08 pm

Non l'avevo capito...
Mi scuso con Sabbb e con gli altri, allora [prego]

da **Sabbb** » mer nov 10, 2010 6:11 pm

Non c'è problema Ale,capita anche questo agli umani [;)]

.Piuttosto volevo capire sampei come ha potuto mandare il file su Virustotal e ad Avira se non ce lo aveva.

da **ste_95** » mer nov 10, 2010 6:16 pm

Ciò che Antivir rileva è una pagina di MegaLab.it ... quindi a meno che non si tratti di qualche banner, è un falso [^]

da **sampei.nihira** » mer nov 10, 2010 6:18 pm

Sabbb ha scritto:Non c'è problema Ale,capita anche questo agli umani .Piuttosto volevo capire sampei come ha potuto mandare il file su Virustotal e ad Avira se non ce lo aveva.

Come non ce lo avevo ?
Quelli che aprono il topic di Ale con Avira se lo prendono tutti quel file tmp.

Poi segui il percorso che varia in base al browser usato e lo reperisci dopo aver ripristinato il file (altrimenti Avira lo mette in quarantena) poi fai un copia/incolla sul desktop, ad esempio, devi naturalmente disattivare il guard di Avira,e poi lo fai analizzare on line.

da **Ale2695** » mer nov 10, 2010 6:20 pm

ste_95 ha scritto:Ciò che Antivir rileva è una pagina di MegaLab.it ... quindi a meno che non si tratti di qualche banner, è un falso

Ok, quindi non c'entra nulla il mio topic precedente?

da **sampei.nihira** » mer nov 10, 2010 6:24 pm

ste_95 ha scritto:Ciò che Antivir rileva è una pagina di MegaLab.it ... quindi a meno che non si tratti di qualche banner, è un falso

Ste, a me Avira interviene esclusivamente in quel topic.
Ho messo in quel 3D anche un'immagine dell'intervento di Avira basta vederla.

da **Sabbb** » mer nov 10, 2010 6:30 pm

ok..Bene.

da **ste_95** » mer nov 10, 2010 6:44 pm

sampei.nihira ha scritto:Ho messo in quel 3D anche un'immagine dell'intervento di Avira basta vederla.

Beh è anche possibile che Antivir becchi il file di quella pagina web, per quanto sia strano... comunque finchè rimane un temporaneo, non può nuocere. [std]

da **sampei.nihira** » mer nov 10, 2010 6:59 pm

Ah questo è sicuro. [^]

Almeno tutto ciò è servito, come esempio, di come sia importante saper gestire gli eventuali FP di un antivirus. [^]

A voi appurare,se interessa ovviamente,prima della risoluzione del FP,dove ne sia l'origine.
Buona serata. [:)]

da **The Stroker ®** » mer nov 10, 2010 7:04 pm

Beh...alla fine Virustotal m'ha detto che solo avira lo rileva, eccovi il report di virustotal:

Antivirus Version Last Update Result
AhnLab-V3 2010.11.10.02 2010.11.10 -
AntiVir 7.10.13.202 2010.11.10 HTML/Spoofing.Gen
Antiy-AVL 2.0.3.7 2010.11.10 -
Authentium 5.2.0.5 2010.11.10 -
Avast 4.8.1351.0 2010.11.10 -
Avast5 5.0.594.0 2010.11.10 -
AVG 9.0.0.851 2010.11.10 -
BitDefender 7.2 2010.11.10 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.10 -
Comodo 6676 2010.11.10 -
DrWeb 5.0.2.03300 2010.11.10 -
Emsisoft 5.0.0.50 2010.11.10 -
eSafe 7.0.17.0 2010.11.09 -
eTrust-Vet 36.1.7966 2010.11.10 -
F-Prot 4.6.2.117 2010.11.10 -
F-Secure 9.0.16160.0 2010.11.10 -
Fortinet 4.2.249.0 2010.11.10 -
GData 21 2010.11.10 -
Ikarus T3.1.1.90.0 2010.11.10 -
Jiangmin 13.0.900 2010.11.10 -
K7AntiVirus 9.67.2940 2010.11.09 -
Kaspersky 7.0.0.125 2010.11.10 -
McAfee 5.400.0.1158 2010.11.10 -
McAfee-GW-Edition 2010.1C 2010.11.10 -
Microsoft 1.6301 2010.11.10 -
NOD32 5607 2010.11.10 -
Norman 6.06.10 2010.11.10 -
nProtect 2010-11-10.01 2010.11.10 -
Panda 10.0.2.7 2010.11.10 -
PCTools 7.0.3.5 2010.11.10 -
Prevx 3.0 2010.11.10 -
Rising 22.73.02.06 2010.11.10 -
Sophos 4.59.0 2010.11.10 -
Sunbelt 7273 2010.11.10 -
SUPERAntiSpyware 4.40.0.1006 2010.11.10 -
Symantec 20101.2.0.161 2010.11.10 -
TheHacker 6.7.0.1.081 2010.11.10 -
TrendMicro 9.120.0.1004 2010.11.10 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.10 -
VBA32 3.12.14.1 2010.11.09 -
ViRobot 2010.10.30.4121 2010.11.10 -
VirusBuster 12.72.6.0 2010.11.10 -

Mentre mandando il file sul sito di avira che mi avete gentilmente segnalato mi compare questo:

ID File Nome file Dimensione (byte): Risultato
25947889 1DD20876d01 64.39 KB MALWARE

I risultati esatti per ogni file si trovano nella seguente sezione:
Nome file Risultato
1DD20876d01 MALWARE

Il file '1DD20876d01' è stato classificato come 'MALWARE'. I nostri analisti hanno dato a questa minaccia il nome HTML/Spoofing.Gen. Con la denominazione "HTML/" si intende un virus script che, con l’aiuto di uno script HTML può inficiare il sistema.

da **Berga95** » mer nov 10, 2010 7:31 pm

Non è che avete estensioni di FF del tipo di FasterFox che caricano in background nella cache i link che trovano in una certa pagina? [sh]

www.MegaLab.it

Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Re: Rilevamento HTML

Chi c’è in linea