HaraldL Posted March 5, 2015 Share Posted March 5, 2015 Nachdem Avira (die Professional-Variante für Firmen) bei mir plötzlich die aktuelle JustRadio.exe als Trojaner meldete habe ich die Datei als "Fehlalarm" an deren Virenlabor geschickt. Nach (angeblicher) Prüfung sind sich die nun "ganz sicher": Dateiname Ergebnis JustRadio.exe MALWARE Die Datei 'JustRadio.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Rogue.4384256.2 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version 7.11.213.48 der Virendefinitionsdatei (VDF) hinzugefügt. also bisher haben die ihre Fehlalarme nach manueller Einsendung korrigiert, anscheinend hat da momentan keiner mehr Lust dazu (oder es ist wegen der Grippewelle keiner da). Quote Link to comment
hackbart Posted March 5, 2015 Share Posted March 5, 2015 Hmm, ich denke ich schreibe denen mal. Das ist ja schon ein geschäftsschädigendendes Verhalten was die da an den Tag legen. Was mich wundert, ich hab hier die freie Version auf meinem Entwicklerpc und die meldet keine Probleme. Ich denke mal die haben sich so, da die Anwendung mit ASPack komprimiert ist. Gibt es dafür eine Vorgangsnummer, auf die ich mich beziehen kann? Ansonsten erstelle ich ein eigenes Build und schicke denen das mit dem Hinweis sie mögen doch bitte mal testen warum sie die Binary als Trojaner einstufen. Übrigens bin ich gerade dabei etwas mit Google Maps anstelle von Openmaps zu spielen: Quote Link to comment
Joshua06 Posted March 5, 2015 Share Posted March 5, 2015 Mensch Christian, du bist ja ein richtiger Hacker Spaß beiseite, mit Avira habe ich auch so meine Erfahrungen gemacht. Das absolute Highlight (neben zig false positive) war, als es seine eigene .exe als bedrohlich einstufte und das Update auf eine neuere Version schlicht verweigerte. Das hilft zwar jetzt bei Harald's eigentlichem Problem nicht, jedoch wäre es insgesamt zu überdenken, ob man sich nicht eine andere AV-Software zulegt. Kaspersky übrigens hat an der JustRadio.exe nichts auszusetzen. Quote Link to comment
hackbart Posted March 5, 2015 Share Posted March 5, 2015 Ich hab irgendwo mal gelesen das AV Software im Prinzip obsolet ist und richtige Schadsoftware überhaupt nicht erkennt. Ich hab mir vor langer Zeit mal den Spaß gemacht und eine dieser "Ihnen wurde eine Überweisung gutgeschrieben, wir brauchen jedoch noch ihre Bestätigung"-Mails nebst Binärdatei als Anhang analysiert. In einer VM mit der Demoversion von IDA und hab danach bei virustotal die Datei getestet. Kein Scanner hat da erkannt das an der Datei etwas faul war. Für mich war das der Zeitpunkt wo ich beschlossen habe auf brain.exe mehr zu vertrauen, als auf irgend einen Scanner. Avira Free hab ich hier allerdings auch installiert, da ich damit zumindest schnell in dem Fall auf False-Positives reagieren kann. Quote Link to comment
Joshua06 Posted March 5, 2015 Share Posted March 5, 2015 So ist es auch. Gerade Anhänge in Mails werden selbst von Kaspersky, als auch von Bitdefender selten bis gar nicht als Schadsoftware erkannt, genau so wollen die Bösen es ja. Gibt ja ebenso den Verdacht, dass viele "Staats-Trojaner" selbst an den etablierten Scannern bewusst vorbeihuschen. Mit der brain.exe halte ich es ebenso, wenn ich auch Kaspersky auf dem einen PC ist, Bitdefener auf dem anderen habe, ist mein Vertrauen nicht sonderlich groß. Allerdings halten sich die false-positive zumindest bei beiden in Grenzen. Quote Link to comment
Derrick Posted March 5, 2015 Share Posted March 5, 2015 bitte den titel ändern. Vorschlag "Justradio ist Malware bei Avira" Quote Link to comment
hackbart Posted March 5, 2015 Share Posted March 5, 2015 Ja hab ich mal angepasst. Eine aktuelle Build habe ich deren "Labor" zur Verfügung gestellt mit der Bitte genau zu sagen was da als Trojaner deklariert wird um dies ggf. abzuschalten. Ich schreibe genaueres dann hier in den Thread. Quote Link to comment
nuts Posted March 5, 2015 Share Posted March 5, 2015 Eine aktuelle Build habe ich deren "Labor" zur Verfügung gestellt mit der Bitte genau zu sagen was da als Trojaner deklariert wird um dies ggf. abzuschalten. Höhö - machen das Programmierer der echten Trojaner vielleicht auch so? Quote Link to comment
HaraldL Posted March 5, 2015 Author Share Posted March 5, 2015 Gibt es dafür eine Vorgangsnummer, auf die ich mich beziehen kann? Ansonsten erstelle ich ein eigenes Build und schicke denen das mit dem Hinweis sie mögen doch bitte mal testen warum sie die Binary als Trojaner einstufen. Die Tracking-Nummer war 1832731. Quote Link to comment
hackbart Posted March 6, 2015 Share Posted March 6, 2015 Ich hab nur folgendes bekommen: Sehr geehrte Dame, sehr geehrter Herr, Vielen Dank für Ihre Email an Avira's Virenlabor. Auftragsnummer: INC01833894. Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt: Datei ID Dateiname Größe (Byte) Ergebnis 28439688 JustRadio.exe 16.79 MB CLEAN Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis JustRadio.exe CLEAN Die Datei 'JustRadio.exe' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden. Alternativ können Sie die Ergebnisse der Analyse hier einsehen: https://analysis.avira.com/en/status?uniqueid=FPtbMUzsfgErM8rZGr1963mYIEzz5jFy&incidentid=1833894 Zusätzlich finden Sie eine Übersicht aller Einsendungen hier: https://analysis.avira.com/en/overview?uniqueid=FPtbMUzsfgErM8rZGr1963mYIEzz5jFy Quote Link to comment
HaraldL Posted March 6, 2015 Author Share Posted March 6, 2015 Ich hab nur folgendes bekommen: ... Datei ID Dateiname Größe (Byte) Ergebnis 28439688 JustRadio.exe 16.79 MB CLEAN Habe JustRadio nochmal neu heruntergeladen und installiert und die EXE in C:\Program Files (x86)\JustRadio erneut gescannt. Wird immer noch als Trojaner bezeichnet (vorher Avira natürlich auch extra aktualisiert). 1. hat meine EXE ja vermutlich meine Benutzerkennung drin, ist also unerschiedlich zu deiner (oder ist das bei JustRadio anders als beim DVBViewer selber?) und 2. ist meine EXE im Programmordner 4.18 MB groß (genau 4.384.256 Bytes) und nicht 16.79 MB. Möglich daß du eine nicht gepackte Version eingeschickt hast und das Packen den Fehlalarm auslöst. Viele Schädlinge sind sicher auch auf ähnliche Art gepackt um deren Analyse zu erschweren. Quote Link to comment
hackbart Posted March 6, 2015 Share Posted March 6, 2015 Nein die Dateien haben keine Kennung. ich hab für deren Labor die Exe micht laufzeitkomprimiert. da ist ja auch die komplette Datenbank als Ressource mit drin, deswegen ist die exe so groß. Quote Link to comment
Natsu83 Posted March 6, 2015 Share Posted March 6, 2015 (edited) Bei Avira kann es schon ein bischen dauern, bis es reagiert. Da erstmal das Datenbank-Update kommen muss und es sein kann, dass das aktuelle Update noch nicht diese spezifikation drinne hat.. Wird also warscheinlich mit dem nächsten Update der Datenbank aktualisiert werden. Ich würde das nächste Update mal abwarten. Spätestens nach dem nächsten Update sollte es dann greifen Edited March 6, 2015 by Natsu83 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.