RNA wird von Antivir als Wurm markiert

[Sven]

AVIR ist seit gestern deinstalliert. Wie angekündigt werkelt dafür die Testversion von Emisofts Anti-Maleware 5.0.

Gestern hat A-M noch nichts gefunden, beim Suchlauf der gerade aktuell stattfindet schon. Und ratet mal was angemeckert wird...

Aber BOINC/RNA World laufen völlig Störungsfrei, nichts wird geschrottet!

[Michael H.W. Weber]

AntiVir nimmt sich der Sache an, kannst Du also bald wieder installieren. Unser Mitstreiter Chrstopher hat AntiVir das Problem beschrieben und auch die angeblich befallene Datei geliefert. Hier die Mitteilung, die AntiVir daruafhin gab:

Code: Alles auswählen

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00581721.

Wir haben folgende Archivdateien empfangen:

Datei ID Dateiname Größe (Byte) Ergebnis
25851583 Fehlerkennung.rar 1.43 MB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25851584 AVSCAN-20100817-1...C2.LOG 17.61 KB CLEAN
25851585 quarantaene.txt 836 Byte CLEAN
25850572 4f0000e9.vir 2.74 MB FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
AVSCAN-20100817-1...C2.LOG CLEAN

Die Datei 'AVSCAN-20100817-162814-156B06C2.LOG' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.

Dateiname Ergebnis
quarantaene.txt CLEAN

Die Datei 'quarantaene.txt' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.

Dateiname Ergebnis
4f0000e9.vir FALSE POSITIVE

Die Datei '4f0000e9.vir' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
http://analysis.avira.com/samples/detai ... tid=581721

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
http://analysis.avira.com/samples/detai ... fTAwkJ8CmK

Hinweis: Bitte wenden Sie sich mit spezifischen Fragen an support@avira.de

Mit besten Grüßen
Avira Virenlabor

---------------------------------------------
Avira GmbH
Lindauer Str. 21, D-88069 Tettnang, Germany
Telefon: +49 (0) 7542-500 0 begin_of_the_skype_highlighting              +49 (0) 7542-500 0      end_of_the_skype_highlighting
Telefax: +49 (0) 7542-525 10
Internet: http://www.avira.de

Geschäftsführer: Tjark Auerbach
Firmensitz: Tettnang
Handelsregister: Amtsgericht Ulm HRB 630992
---------------------------------------------

Michael.

[Norman]

das könnte man auch noch im englischen forum erwähnen, denn die haben mit sicherheit ähnliche probleme und wollen auch informiert werden

[yoyo]

Eigentlich müssten wir auch die anderen Virenhersteller informieren. Da melden auch einige einen Virus: http://www.virustotal.com/file-scan/rep ... 1282316153#

yoyo

[mxplm]

Wäre vielleicht eine gute Idee, executables über solche Dienste immer zu checken, bevor man sie in die Welt verteilt. Wenn's den Service schon gibt, warum nicht nutzen? Vielleicht kann man das sogar automatisieren, damit es schneller geht.

[BigBubi]

Wie kommt's, dass nun sämtliche Virenproggie's auf diese Datei anspringen? Entwickeln die ihre Virendatenbanken net selber? Oder bekommen sie diese Datenbanken -die bei uns als Update landen- selber nur von einer zentralen Stelle?

Grüße,
BigBubi

[MReed]

Das Problem dürften in dem Fall wohl weniger die Virendatenbanken sein, als viel mehr die heuristische Suche nach Viren, die in diesem Fall wohl auf einen Teil des Codes anspringt und damit die Datei als Worm markiert...


PS: ich würde das ja an Kaspersky schicken, ich find nur die Datei nicht, bei der KIS rumzicken soll ^^

[yoyo]

PS: ich würde das ja an Kaspersky schicken, ich find nur die Datei nicht, bei der KIS rumzicken soll ^^

Da ist sie http://www.rnaworld.de/rnaworld/downloa ... telx86.exe

[MReed]

Danke dir.

?dit: Soeben ist bei Kaspersky eine Meldung über diesen false positive eingegangen.

[Christopher Herr]

Hallo zusammen,

seit dem Update, welches Avira in Ihrer Reaktion auf u.a. diese Fehlerkennung rausgegeben hat, habe ich die Festplatte mit dem BOINC-Ordner mal wieder komplett manuell scannen lassen und die Datei wurde nicht mehr als Wurm gemeldet, trotz Heuristik-Erkennung auf hoch.
Da der Link nicht mehr funktioniert in Michaels Zitat darf ich ihn hier nochmal liefern: Ergebnis der Einreichung der fälschlicherweise erkannten Datei durch Avira.

Ich kann Euch nur empfehlen, entweder den BOINC-Ordner auszuschließen von der Überprüfung duch den AntiVir Guard (das habe ich immer noch so eingestellt, weil das bei jedem Projekt mal passieren kann, dass eine Heuristik auf einen File losgeht) oder sobald ihr bemerkt, dass eine Datei als Bedrohung erkannt wird, diese sofort beim Hersteller des Virenscanners einzureichen: Bei Avira geht das u.a. hier.

Practice safe crunching und Cheers
CH

[BigBubi]

Das Problem dürften in dem Fall wohl weniger die Virendatenbanken sein, als viel mehr die heuristische Suche nach Viren, die in diesem Fall wohl auf einen Teil des Codes anspringt und damit die Datei als Worm markiert...

Oki.. Hatte mich ein wenig undeutlich bzw. falsch ausgedrückt.. Ich formuliere meine Frage neu: Die Datei für den Screensaver ist sicher net erst seit gestern bei RNA enthalten? Warum springt jetzt die Heuristik darauf an? Warum net schon früher? Woher nehmen die Heuristiken der Virenscanner ihr "Wissen", dass diese Datei böswillig ist?

Grüße,
BigBubi

[Christopher Herr]

Das Problem dürften in dem Fall wohl weniger die Virendatenbanken sein, als viel mehr die heuristische Suche nach Viren, die in diesem Fall wohl auf einen Teil des Codes anspringt und damit die Datei als Worm markiert...

Oki.. Hatte mich ein wenig undeutlich bzw. falsch ausgedrückt.. Ich formuliere meine Frage neu: Die Datei für den Screensaver ist sicher net erst seit gestern bei RNA enthalten? Warum springt jetzt die Heuristik darauf an? Warum net schon früher? Woher nehmen die Heuristiken der Virenscanner ihr "Wissen", dass diese Datei böswillig ist?

Grüße,
BigBubi

Hallo,

Die Heuristiken werden ständig weiterentwickelt bzw. verbessert. Heuristik bedeutet nicht anderes als eine Suche auf Basis ähnlicher Muster und damit auf Erfahrungswerten. Da kann es durchaus mal passieren, dass eine Datei, die seit Jahren virenfrei war, auf einmal als Bedrohung erkannt wird.

Weiterhin fröhliches Crunchen!
CH