Interpretation Datei-Upload auf virustotal

18/01/2009 - 17:04 von Uwe Premer | Report spam
Schönen Sonntag!

Ich hab grad mal eine Datei auf virustotal hochgeladen zur Virenprüfung.
Ich muß dabei vorausschicken, dass ich mir vorher Avast4Linux
installiert hab und damit meine Windows XP Pro Partition untersucht
habe, mit dem Ergebnis, dass folgende Datei moniert wurde:

2009-01-18 15:50:56 Found virus 'Win32:Delf-IMQ [Trj]' in file '/windows/SYSTEM/Programme/AceBIT/WISE-FTP 4/setup.exe'.

Jenes FTP-Programm "AceBIT" hatte ich von meinem Provider kostenlos
erhalten und vor langer Zeit installiert. Die monierte setup.exe liegt
im Installationsverzeichnis.

Daraufhin dachte ich, ich mache den Gegencheck und lade das File mal
auf virustotal hoch.
Und nun zu deren Ergebnissen:

Datei setup.exe empfangen 2009.01.18 16:43:53 (CET)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.18 -
AhnLab-V3 2009.1.15.0 2009.01.17 -
AntiVir 7.9.0.57 2009.01.18 -
Authentium 5.1.0.4 2009.01.17 -
Avast 4.8.1281.0 2009.01.16 Win32:Delf-IMQ
AVG 8.0.0.229 2009.01.18 -
BitDefender 7.2 2009.01.18 -
CAT-QuickHeal 10.00 2009.01.17 -
ClamAV 0.94.1 2009.01.18 -
Comodo 935 2009.01.18 -
DrWeb 4.44.0.09170 2009.01.18 -
eSafe 7.0.17.0 2009.01.18 -
eTrust-Vet 31.6.6312 2009.01.17 -
F-Prot 4.4.4.56 2009.01.17 -
F-Secure 8.0.14470.0 2009.01.18 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.18 -
Ikarus T3.1.1.45.0 2009.01.18 -
K7AntiVirus 7.10.594 2009.01.17 -
Kaspersky 7.0.0.125 2009.01.18 -
McAfee 5498 2009.01.17 -
McAfee+Artemis 5498 2009.01.17 -
Microsoft 1.4205 2009.01.18 -
NOD32 3774 2009.01.17 -
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.18 -
PCTools 4.4.2.0 2009.01.18 -
Prevx1 V2 2009.01.18 -
Rising 21.12.62.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.18 -
Sophos 4.37.0 2009.01.18 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.18 -
TheHacker 6.3.1.5.222 2009.01.17 -
TrendMicro 8.700.0.1004 2009.01.16 -
VBA32 3.12.8.10 2009.01.17 -
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.18 -
weitere Informationen
File size: 8155656 bytes

Wie man sieht, scheint nur Avast ein Problem mit der Datei zu haben.
Was ist davon zu halten?
Wirklich ein Virus?

Nur noch als Ergànzung:
die komplette Untersuchung der WinXP-Partition ergab weiters noch
folgenden Fund:

2009-01-18 15:47:38 Found virus 'Win32:Adloader-AC [Trj]' in
file '/windows/SYSTEM/pagefile.sys'.

Ein Virus in der Auslagerungsdatei?

Weitere Viren wurden hierbei nicht gefunden.

Ich glaube eher, dass Avast Fehlalarme erzeugt!
Was meint Ihr?

Uwe
.:::::|::| ::|.:::::|::::::| ::| ::| ,::::,
,::\ :::\ :~~/ :::\ `:::::>::|_::|`:::::>:::> :| :| : -- |
`::/ :::/ :::, :|:| ,::::/ `:::::|,::::/ ::::::| :::| :::| ::| `::::'
:|
 

Lesen sie die antworten

#1 Juergen Ilse
18/01/2009 - 17:38 | Warnen spam
Hallo,

Uwe Premer wrote:
Wie man sieht, scheint nur Avast ein Problem mit der Datei zu haben.
Was ist davon zu halten?
Wirklich ein Virus?



Signaturbasierte Virenscanner (also praktisch alle haemgigen) sind nicht
wirklich sicher vor Fehlalarmen, so etwas findet man immer wieder (bei
manchen haeufiger, bei anderen nicht ganz so haeufig) und oftmals treten
sie Fehlalarme wirklich nur bei einzelnen Exemplaren auf (aber auch das
muss nicht unbedingt so sein). Der Scanner liefert dir niemals einen
Beweis, sondern bestenfalls ein Indiz ...

Ich glaube eher, dass Avast Fehlalarme erzeugt!
Was meint Ihr?



Duchaus moeglich (halte ich bei dem Ergebnis nicht unbedingt fuer unwahr-
scheinlich). Vielleicht solltest du die Datei an den Hersteller von Avast
zur Analyse senden (mit dem Hinweis, dass nur Avast meinte, darin einen
Schaedling zu finden). Manche HErsteller sind durchaus dankbar dafuer,
wenn man sie ueber moegliche "false positives" informiert, damit sie ggfs.
ihre Signaturen dahingehend korrigieren koennen ...

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen