Virenmeldungen bzgl. Download / Virus messages regarding download

[Schnu]

Hallo zusammen,
(please see english Version in the 2nd half below)

getreu dem Motto "Es schadet nicht, sicher zu sein" und nach der Erfahrung, dass selbst seriöse, engagierte und sehr techik-affine Seiten vor "feindlichen Übernahmen" nicht sicher sind
(und waren, z.B. Heise mit Emotet und Videolan (VLC) vor etwa 3 Jahren, wo ihre Website auf ein Bild eines Drittanbieters verwies, das von einem Trojaner ausgenutzt wurde, der sich beim Rendern der Website durch den Browser auf der Client-Seite verbreitete.),
scanne ich meine uploads regelmäßig mit Virus Total.
Das ist ein Dienst, der dutzende Virensuch-Engines (60-75) suchen läßt, um Sites oder Files (Lokal oder via URL) zu checken.

Das habe ich Samstag getan mit "https://totalcommander.ch/win/tcmd951x32_64.exe" , diese URL eingegeben als "FILE" in Virus Total unter
"https://www.virustotal.com/gui/home/upload", "Choose file"-Button und mein blaues Wunder erlebt.
[Die Url ist auf https://www.ghisler.com/ddownload.htm unter "64-bit+32-bit kombiniert"].

Ich bekam Virusfund - Meldungen, erst 2, dann am Sonntag 3, mittlerweile wieder nur 2, wovon eine , "Yomi Hunter" nur allgemein "Malware" berichtet.
Zur Erklärung: Manche Anti-Viren-Engines liefern innerhalb der Timeout - Zeit von 60 sec. noch kein Ergebnis,
bei 60 sec stoppt aber VirusTotal.
Ihr könnt das nachvollziehen 1) auf die gleiche Weise, die ich beschrieben habe,
2) indem Ihr die url mit dem Hash-Wert kopiert, da für jedes file ein Hash errechnet wird.
Das ist in diesem Fall: https://www.virustotal.com/gui/file/2d2115049aea04c0af4090571f212ac553811338fa6c9eaebff88d6b61d35448/detection bzw. genau die Zahlenkolonne mittendrin.

[Nachbemerkung: wenn ihr eine Virensuche mit Virustotal macht, die schon einmal ein(e) andere(r) losgeschickt hat, dann bekommt ihr dieses Ergebnis, ersichtlich am Timestamp rechts oben. Davon nochmal ein weng rechts und drüber ist ein Aktualisieren-Icon, Mouseover = "Reanalyze file".]

Anti-Virus-Softwar gibt manchmal false positive results, aber dann wird meist irgendein Virusname wie "xyzbc Generic" verwendet (mit anderen Worten "wir wissen's auch nicht so genau"...)
Hier aber berichtet die Engine "Rising" über "PUF.RAR-Exploit!1.B604 (CLASSIC)" . Das liest sich gefährlich.

Könnt Ihr bitte mal prüfen, ob es da nicht doch ein Problem gibt - oder ggf. diese Firma "Rising" ansprechen?

Liebe Grüße
Schnu
______________________________________________________________________________________
Hello everyone,
True to the motto "It doesn't hurt to be safe" and after the experience that even serious, committed and very tech-savvy sides are not safe from "hostile takeovers"
(and were, e.g. Heise with Emotet and Videolan (VLC) about 3 years ago, where their website referred to a third-party image that was exploited by a Trojan horse that spread to the client side when the browser rendered the website),
I regularly scan my uploads with Virus Total.
This is a service that scans dozens (60-75) virus engines to check sites or files (local or via URL).

I did this Saturday with "https://totalcommander.ch/win/tcmd951x32_64.exe", entered this URL as "FILE" in Virus Total at
"https://www.virustotal.com/gui/home/upload", clicked the "Choose file" button and experienced "my blue wonder."
[The url is e.g. at https://www.ghisler.com/ddownload.htm under "64-bit+32-bit combined"].

I got Virus Detection messages, first 2, then on Sunday 3, meanwhile again only 2, one of which, "Yomi Hunter" only reports general "Malware".
For explanation: Some anti-virus engines do not deliver a result within the timeout period of 60 seconds,
but VirusTotal stops at 60 sec.
You can follow this 1) in the same way I described,
2) by using the url with the hash value, because a hash is calculated for each file.
In this case: https://www.virustotal.com/gui/file/2d2115049aea04c0af4090571f212ac553811338fa6c9eaebff88d6b61d35448/detection or to be precise the column of numbers in the middle.

[Note: if you do a virus scan with Virustotal, which has already sent out another one, then you will get this result, visible on the timestamp in the upper right corner. Again a little bit to the right and on top of it there is an update icon, mouseover = "Reanalyze file"].

Anti-virus software sometimes gives false positive results, but then usually some virus name like "xyzbc Generic" is used (in other words "we don't know for sure"...)
But here the engine "Rising" reports about "PUF.RAR-Exploit!1.B604 (CLASSIC)" . This reads dangerously.

Could you please check if there is a problem - or if necessary contact this Company "Rising"?

Best regards
Schnu

[Dalai]

Es gibt immer wieder einzelne Scanner bei VirusTotal (oder anderen Diensten), die meinen, in den geprüften Dateien etwas gefunden zu haben. Ist das relevant? Nein, sofern es über einen längeren Zeitraum bei weniger einer Handvoll (vermeintlich) positiver Funde bleibt. Üblicherweise erhöht sich die Zahl der Funde in den Wochen nach dem Erscheinen einer Datei drastisch, wenn sie wirklich Malware enthält. Schließlich schlafen die Hersteller der Antivirensoftware nicht - jedenfalls nicht in dieser Beziehung (in anderen Dingen sind die Hersteller faul und/oder taub und teilweise ignorant).

Zudem kann man in der Regel selbst prüfen, ob eine Datei verändert wurde, indem man die digitale Signatur prüft - die meisten (größeren) Softwareprogramme, so auch TC und dessen Setup, sind signiert. Zum Prüfen: Eigenschaften > Register Digitale Signaturen und Doppelklick auf eine (oder alle). Sofern die gültig sind, ist das ein weiteres Indiz für ein False Positive.

Nichtsdestotrotz gibt es niemals hundertprozentige Sicherheit. Es gab bereits mit Zertifikaten großer Unternehmen (u.a. Google und Microsoft) signierte Dateien bzw. Webseiten. Daher bietet ein Zertifikat keineswegs eine Garantie, dass eine Datei/Webseite wirklich nicht manipuliert wurde oder vom Herausgeber selbst stammt, auch wenn das immer wieder behauptet wird. Es ist aber immerhin ein Indiz.

Grüße
Dalai

[ghisler(Author)]

Hier aber berichtet die Engine "Rising" über "PUF.RAR-Exploit!1.B604 (CLASSIC)" . Das liest sich gefährlich.

Das ist eine Falschmeldung:
Die Warnung bezieht sich auf die Datei UNACEV2.DLL, ie auch RAR verwendet hat - deshalb RAR-Exploit. Diese hatte eine Sicherheitslücke, ich habe die Datei aber selbst analysiert und die Lücke gepatcht. Diese Rising-Engine ist wohl nicht gründlich genug, um die gepatchte DLL von der ungepatchten zu unterscheiden.

Hier Infos zur Lücke:
https://www.ghisler.ch/board/viewtopic.php?f=2&t=51946&p=352225&hilit=UNACEV2.DLL#p352225