Quantcast
Channel: Andy – Andy's Blog
Viewing all articles
Browse latest Browse all 2170

ClamAV und Drive Snapshot-Rettungsskripte

May 6, 2017, 1:39 am
$
0
0

Samstag, der 06.05.2017, 07:52 Uhr, Mail von meinem Webspace-Provider, Virenfund im Blog. Wirklich? Ernsthaft? Nein! False-positive, again.

Oder auch:

  • The return of the false-positive
  • False-positive – Part II
  • False-positive – The second arrival

Ok, Spass wobei eher Galgenhumor beseite. Das Ganze hatten wir schonmal, ist aber bereits eine Weile her:

Kompilierte AutoIt-Skripte und die Virenscanner

Jedenfalls wurden diverse ZIP-Archive von den Drive Snapshot-Rettungsbeiträgen mit „Win.Trojan.Generic-6299811-0“ als infiziert gemeldet und vom Virenscanner umbenannt. Zur Sicherheit die Archive und deren Inhalt überprüft, alles ok und im Original-Zustand, folglich keine Infektion. Den Support kontaktiert, das es ein False-positive ist und gefragt wie es weiter gehen kann/soll/muss. Die Antwort relativ ernüchternd aber nicht ganz hoffnungslos:

Zum Einsatz kommt ClamAV. Nun ein Zitat vom Support:

„Sie haben die Möglichkeit, die FalsePositives unter https://www.clamav.net/reports/fp zu melden und zu hoffen, das diese aus der Liste entfernt werden.“

Hoffen? Ah ha. Klingt naja… Welche Datei genau „meckert“ der Virenscanner eigentlich an. Also eines der angeblich infizierten Archive hergenommen, entpackt und erstmal die AutoIt-Skripte und deren „Exen“ bei VirusTotal gescannt. Dort meldet ClamAV allerdings das alles gut sei (ein paar andere Scanner melden vmtl. auf Basis von Heuristik das es Malware sein könnte, sind aber in der Minderheit). Ja wie nun?! Das Ganze Archiv gescannt und prompt den „Trojan.Generic-blablabla“ erhalten. Hm, nun gut. Jede einzelne Datei gescannt, kein Treffer. Äh, ja, hm.

Auf einer Testmaschine mal schnell ClamWin installiert und den Inhalt eines der Archive gescannt:

ds-update_x86.exe: Win.Trojan.Generic-6299811-0 FOUND

Also doch eine „AutoIt-Exe“. Kurios ist allerdings, das bei VirusTotal mit der selben Datei kein Treffer bei ClamAV gelandet wird. Es hängt vmtl. an der Version der Virensignatur:

main: 57, daily: 23361, Updated: 07:02 06 Mai 2017
bzw.
main.cvd (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd (version: 23361, sigs: 2064603, f-level: 63, builder: neo)
bytecode.cvd (version: 297, sigs: 58, f-level: 63, builder: anvilleg)

(Quelle: ClamWin)

Bei VirusTotal sieht man leider nur „20170506“, wenig hilfreich in diesem Moment. Ein weiterer Scan bei VirusTotal, gut eine halbe Stunde später und mit viel Geduld (weil’s gerade lahmt), liefert dann doch einen Treffer:

Antivirus | Ergebnis | Aktualisierung
ClamAV | Win.Trojan.Generic-6299811-0 | 20170506

Schön.

Wie geht es weiter?

Abgesehen vom Melden der False-positives besteht die Möglichkeit, ein Verzeichnis beim Webspace-Anbieter vom Scan ausschließen zu lassen. Das ist zwar eine Option, aber um ehrlich zu sein, möchte ich das nicht, denn wird der Webspace doch mal kompromitiert, wäre das ja ein wunderbarer Verteilungsort, ferner ist mir der Aufwand zu hoch, jedesmal wenn ein Progrämmchen online gestellt werden soll, darauf zu achten, das es an einem bestimmten Ort liegen muss. Man müsste es außerhalb von WordPress platzieren, also nix mit mal schnell auf „Dateien hinzufügen“ klicken, dann jenseits vom Browser noch einen FTP-/SCP-Client verwenden, … man ist halt bequem oder verwöhnt.

Parallel dazu könnte man natürlich hergehen und die betreffenden Skripte neu kompilieren, aber wie lange hält das dann? Ganz gleich, wie man es nun angeht, um Arbeit kommt man nicht drum herum. Die umbenannten Archive müssen „zurückbenannt“ oder neu hochgeladen werden damit die bestehenden Links wieder funktionieren oder neu kompilieren/packen/mit Kennwort schützen/… und die Links aktualisieren.

Jedenfalls habe ich jetzt erstmal Meldung erstattet. Mal sehen, ob da was zurückkommt. Parallel dazu werde ich auf der Testmaschine mit den jeweils neuen Clam-AV-Signaturen prüfen. Die Archive umbenennen geht im Moment nicht (trotz Besitz- und aller anderen Rechte, Supportanfrage läuft). Neu hochladen macht aufgrund der noch aktuellen Signatur wenig Sinn, würde gleich wieder geblockt/umbenannt/sonstwie gesperrt werden. Also erstmal abwarten.

Update 06.05.2017 – 10:58 Uhr

Die Dateien konnten nun umbenannt werden, die Links bzw. Downloads sollten damit wieder funktionieren.

Update 06.05.2017 – 15:34 Uhr

Die Hoffnung, das man schnell aus der Sache rauskommt schwindet. Mit der neuen Signatur nach wie vor Falsch-Meldung.

daily.cld (version: 23362, sigs: 2065037, f-level: 63, builder: neo) (Updated 15:02 06 Mai 2017)

Bislang zudem keinerlei „Lebenszeichen“ von der False-positive-Meldung, scheinbar gibt es nicht mal eine automatische Eingangsmail o.ä.


Ähnliche Artikel:

  1. Kompilierte AutoIt-Skripte und die Virenscanner
  2. Drive Snapshot 1.45 und c´t-Notfall-Windows 2017
  3. Windows: Manuelle Rotationssicherung mit Drive Snapshot – Warum wird kein Log geschrieben?!
  4. Windows: Rotationssicherung mit Drive Snapshot – Version 3.0
  5. Windows: Rettungs-CD für Drive Snapshot v2.0
Search
Viewing all articles
Browse latest Browse all 2170
Search