Jump to content

Justradio ist Malware bei Avira


Recommended Posts

Nachdem Avira (die Professional-Variante für Firmen) bei mir plötzlich die aktuelle JustRadio.exe als Trojaner meldete habe ich die Datei als "Fehlalarm" an deren Virenlabor geschickt. Nach (angeblicher) Prüfung sind sich die nun "ganz sicher":

 

Dateiname Ergebnis JustRadio.exe MALWARE

Die Datei 'JustRadio.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Rogue.4384256.2 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version 7.11.213.48 der Virendefinitionsdatei (VDF) hinzugefügt.

 

 

 

 

also bisher haben die ihre Fehlalarme nach manueller Einsendung korrigiert, anscheinend hat da momentan keiner mehr Lust dazu (oder es ist wegen der Grippewelle keiner da). :mad:

Link to comment

Hmm, ich denke ich schreibe denen mal. Das ist ja schon ein geschäftsschädigendendes Verhalten was die da an den Tag legen. Was mich wundert, ich hab hier die freie Version auf meinem Entwicklerpc und die meldet keine Probleme. Ich denke mal die haben sich so, da die Anwendung mit ASPack komprimiert ist.

 

Gibt es dafür eine Vorgangsnummer, auf die ich mich beziehen kann? Ansonsten erstelle ich ein eigenes Build und schicke denen das mit dem Hinweis sie mögen doch bitte mal testen warum sie die Binary als Trojaner einstufen.

 

Übrigens bin ich gerade dabei etwas mit Google Maps anstelle von Openmaps zu spielen:

 

sample.png

 

 

Link to comment

Mensch Christian, du bist ja ein richtiger Hacker :shocked::laughing:

 

Spaß beiseite, mit Avira habe ich auch so meine Erfahrungen gemacht. Das absolute Highlight (neben zig false positive) war, als es seine eigene .exe als bedrohlich einstufte und das Update auf eine neuere Version schlicht verweigerte. Das hilft zwar jetzt bei Harald's eigentlichem Problem nicht, jedoch wäre es insgesamt zu überdenken, ob man sich nicht eine andere AV-Software zulegt.

 

Kaspersky übrigens hat an der JustRadio.exe nichts auszusetzen.

Link to comment

Ich hab irgendwo mal gelesen das AV Software im Prinzip obsolet ist und richtige Schadsoftware überhaupt nicht erkennt. Ich hab mir vor langer Zeit mal den Spaß gemacht und eine dieser "Ihnen wurde eine Überweisung gutgeschrieben, wir brauchen jedoch noch ihre Bestätigung"-Mails nebst Binärdatei als Anhang analysiert. In einer VM mit der Demoversion von IDA und hab danach bei virustotal die Datei getestet. Kein Scanner hat da erkannt das an der Datei etwas faul war. Für mich war das der Zeitpunkt wo ich beschlossen habe auf brain.exe mehr zu vertrauen, als auf irgend einen Scanner. Avira Free hab ich hier allerdings auch installiert, da ich damit zumindest schnell in dem Fall auf False-Positives reagieren kann.

Link to comment

So ist es auch. Gerade Anhänge in Mails werden selbst von Kaspersky, als auch von Bitdefender selten bis gar nicht als Schadsoftware erkannt, genau so wollen die Bösen es ja. Gibt ja ebenso den Verdacht, dass viele "Staats-Trojaner" selbst an den etablierten Scannern bewusst vorbeihuschen.

 

Mit der brain.exe halte ich es ebenso, wenn ich auch Kaspersky auf dem einen PC ist, Bitdefener auf dem anderen habe, ist mein Vertrauen nicht sonderlich groß. Allerdings halten sich die false-positive zumindest bei beiden in Grenzen.

Link to comment

Ja hab ich mal angepasst. Eine aktuelle Build habe ich deren "Labor" zur Verfügung gestellt mit der Bitte genau zu sagen was da als Trojaner deklariert wird um dies ggf. abzuschalten. Ich schreibe genaueres dann hier in den Thread.

Link to comment

Eine aktuelle Build habe ich deren "Labor" zur Verfügung gestellt mit der Bitte genau zu sagen was da als Trojaner deklariert wird um dies ggf. abzuschalten.

Höhö - machen das Programmierer der echten Trojaner vielleicht auch so? :D

Link to comment

 

Gibt es dafür eine Vorgangsnummer, auf die ich mich beziehen kann? Ansonsten erstelle ich ein eigenes Build und schicke denen das mit dem Hinweis sie mögen doch bitte mal testen warum sie die Binary als Trojaner einstufen.

 

 

 

Die Tracking-Nummer war 1832731.

Link to comment

Ich hab nur folgendes bekommen:

 

Sehr geehrte Dame, sehr geehrter Herr,

 

Vielen Dank für Ihre Email an Avira's Virenlabor.

Auftragsnummer: INC01833894.

 

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

 

Datei ID Dateiname Größe (Byte) Ergebnis

28439688 JustRadio.exe 16.79 MB CLEAN

 

Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

 

Dateiname Ergebnis

JustRadio.exe CLEAN

 

Die Datei 'JustRadio.exe' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.

 

Alternativ können Sie die Ergebnisse der Analyse hier einsehen:

https://analysis.avira.com/en/status?uniqueid=FPtbMUzsfgErM8rZGr1963mYIEzz5jFy&incidentid=1833894

 

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:

https://analysis.avira.com/en/overview?uniqueid=FPtbMUzsfgErM8rZGr1963mYIEzz5jFy

Link to comment

Ich hab nur folgendes bekommen:

...

Datei ID Dateiname Größe (Byte) Ergebnis

28439688 JustRadio.exe 16.79 MB CLEAN

 

 

Habe JustRadio nochmal neu heruntergeladen und installiert und die EXE in C:\Program Files (x86)\JustRadio erneut gescannt. Wird immer noch als Trojaner bezeichnet (vorher Avira natürlich auch extra aktualisiert).

 

1. hat meine EXE ja vermutlich meine Benutzerkennung drin, ist also unerschiedlich zu deiner (oder ist das bei JustRadio anders als beim DVBViewer selber?) und 2. ist meine EXE im Programmordner 4.18 MB groß (genau 4.384.256 Bytes) und nicht 16.79 MB. Möglich daß du eine nicht gepackte Version eingeschickt hast und das Packen den Fehlalarm auslöst. Viele Schädlinge sind sicher auch auf ähnliche Art gepackt um deren Analyse zu erschweren.

Link to comment

Nein die Dateien haben keine Kennung. ich hab für deren Labor die Exe micht laufzeitkomprimiert. da ist ja auch die komplette Datenbank als Ressource mit drin, deswegen ist die exe so groß.

Link to comment

Bei Avira kann es schon ein bischen dauern, bis es reagiert. Da erstmal das Datenbank-Update kommen muss und es sein kann, dass das aktuelle Update noch nicht diese spezifikation drinne hat.. Wird also warscheinlich mit dem nächsten Update der Datenbank aktualisiert werden. Ich würde das nächste Update mal abwarten. Spätestens nach dem nächsten Update sollte es dann greifen

Edited by Natsu83
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...