Archief
- De topics van lang geleden
McAfee Virusscan False Positive?
Vandaag eens de hele PC laten scannen en op het einde van de
scan had de virusscanner een POP gevonden (niet gewest
programma). Het betrof hier geen virus of spyware, maar de
scanner sloeg toch alarm. Het bestand wordt voor alle
zekerheid even in quarantaine geplaatst, want voor het
zelfde geld blijkt het bestand ten onrechte als een POP te
worden aangezien. Het betrof hier het bestand
[color=blue]C:hpbinKillWind.exe[/color], maar een nadere bestudering van het
bestand deed mij de wenkbrauwen naar beneden brengen.
Bestudering van de Google hits over dit bestand lieten
kennelijk geen twijfel: het bestand zou legitiem zijn en op
de harde schijf gebracht als een Utility voor
computerproblemen. Het zou een onderdeel zijn van z.g.
BackWeb software. In Google stond de volgende tekst hierover:
...It is software that allows their tech's to call into
your machine when you have a problem and try to fix it
(under warranty). The KillWind.exe file is a program they
may use that "kills" or terminates any running or background
process. So it is just a HP software utility...
Voor de grap testte ik dit bestand eens bij VirusTotal. De
meeste scanners vonden inderdaad niets, alleen McAfee,
Ikarus en Kaspersky hadden zo hun opmerkingen en spraken
over Risktools.
Opmerkelijk nu is, dat bij eerdere DAT-versies van McAfee in
het verleden dit zelfde bestand al eens eerder werd
aangewezen als een POP, maar de vorige DAT had op mijn PC niets
gevonden terwijl het betreffende bestand er al vanaf 2004 op
moet zitten.
Ik heb de zaak eens voorgelegd aan McAfee zelf door ze een
e-mail te sturen. Voor HP-gebruikers is het dus even
oppassen: het kan dus zijn dat McAfee Virusscan plotseling
begint te toeteren terwijl er - zoals het er nu uitziet -
niets aan de hand is.
Gebruikte software:
McAfee Personal Firewall plus, build: 7.1.113. McAfee
Virusscan Versie 10.0, Build: 10.0.27, Engineversie 5100,
DAT-versie: 4965 en datum DAT-bestand: 16-2-2007. Op Windows
XP home SP2 en alle patches.
scan had de virusscanner een POP gevonden (niet gewest
programma). Het betrof hier geen virus of spyware, maar de
scanner sloeg toch alarm. Het bestand wordt voor alle
zekerheid even in quarantaine geplaatst, want voor het
zelfde geld blijkt het bestand ten onrechte als een POP te
worden aangezien. Het betrof hier het bestand
[color=blue]C:hpbinKillWind.exe[/color], maar een nadere bestudering van het
bestand deed mij de wenkbrauwen naar beneden brengen.
Bestudering van de Google hits over dit bestand lieten
kennelijk geen twijfel: het bestand zou legitiem zijn en op
de harde schijf gebracht als een Utility voor
computerproblemen. Het zou een onderdeel zijn van z.g.
BackWeb software. In Google stond de volgende tekst hierover:
...It is software that allows their tech's to call into
your machine when you have a problem and try to fix it
(under warranty). The KillWind.exe file is a program they
may use that "kills" or terminates any running or background
process. So it is just a HP software utility...
Voor de grap testte ik dit bestand eens bij VirusTotal. De
meeste scanners vonden inderdaad niets, alleen McAfee,
Ikarus en Kaspersky hadden zo hun opmerkingen en spraken
over Risktools.
Opmerkelijk nu is, dat bij eerdere DAT-versies van McAfee in
het verleden dit zelfde bestand al eens eerder werd
aangewezen als een POP, maar de vorige DAT had op mijn PC niets
gevonden terwijl het betreffende bestand er al vanaf 2004 op
moet zitten.
Ik heb de zaak eens voorgelegd aan McAfee zelf door ze een
e-mail te sturen. Voor HP-gebruikers is het dus even
oppassen: het kan dus zijn dat McAfee Virusscan plotseling
begint te toeteren terwijl er - zoals het er nu uitziet -
niets aan de hand is.
Gebruikte software:
McAfee Personal Firewall plus, build: 7.1.113. McAfee
Virusscan Versie 10.0, Build: 10.0.27, Engineversie 5100,
DAT-versie: 4965 en datum DAT-bestand: 16-2-2007. Op Windows
XP home SP2 en alle patches.
Reacties (11)
18-02-2007, 15:28 door
SirDice
Je wil niet weten hoeveel POP meldingen ik op m'n machine
kreeg. Ik heb het op een gegeven moment maar uitgezet..
NetCat, NMap, Pstools, etc.
Laat ik die dingen nu nodig hebben voor m'n werk ;)
Ik weet wel dat er malware is die bijvoorbeeld dankbaar misbruik maakt van psexec, pskill of netcat, beter goed gejat dan slecht verzonnen waarschijnlijk. Ik kan me voorstellen dat die killwind.exe op een zelfde manier ooit een keer misbruikt is.
kreeg. Ik heb het op een gegeven moment maar uitgezet..
NetCat, NMap, Pstools, etc.
Laat ik die dingen nu nodig hebben voor m'n werk ;)
Ik weet wel dat er malware is die bijvoorbeeld dankbaar misbruik maakt van psexec, pskill of netcat, beter goed gejat dan slecht verzonnen waarschijnlijk. Ik kan me voorstellen dat die killwind.exe op een zelfde manier ooit een keer misbruikt is.
Ook mijn McAfee reageerde op C:hpbinKillWind.exe, maar pas nadat ik
het met het programma Hitman Pro 2.6.0.5 had gevonden.
Ik heb het programma wel verwijderd, maar was dat nu wel een goede zet?
Weet iemand hier nog meer over?
het met het programma Hitman Pro 2.6.0.5 had gevonden.
Ik heb het programma wel verwijderd, maar was dat nu wel een goede zet?
Weet iemand hier nog meer over?
26-03-2007, 18:05 door
SirDice
Het is een officieel programma van HP wat als Potentieel
Ongewenst Programma wordt aangemerkt. Let op het woord
potentieel. Het hoeft dus geen ongewenst programma te
zijn.
Ongewenst Programma wordt aangemerkt. Let op het woord
potentieel. Het hoeft dus geen ongewenst programma te
zijn.
27-03-2007, 08:40 door
pikah
Al die rotzooi van HP mag er van mij allemaal af, ik
installeer het in ieder geval niet.
installeer het in ieder geval niet.
27-03-2007, 16:52 door
SirDice
Door pikah
Al die rotzooi van HP mag er van mij allemaal af, ik installeer het in ieder geval niet.
Dan zal je HP printertje ook niet veel meer doen..Al die rotzooi van HP mag er van mij allemaal af, ik installeer het in ieder geval niet.
27-03-2007, 17:12 door
pikah
Mijn deskjet doet het perfect zonder die rommel :D
27-03-2007, 18:29 door
SirDice
Door pikah
Mijn deskjet doet het perfect zonder die rommel :D
Hehehe... Niet zonder driver... Vergeet niet dat XPMijn deskjet doet het perfect zonder die rommel :D
standaard al een aantal HP drivers geinstalleerd heeft
staan. Maar evengoed, die andere "rommel" zoals HP JetAdmin
et al hoef ik ook niet echt.. Geeft ook een hoop leuke
"herrie" op je netwerk.. (SNMP broadcasts met een public
community string).
Dit soort tools wordt in grote getale gebruik in IRC bots. Terecht dat McAfee
daarvoor waarschuwt. Dat doen ze niet voor niets.
Zoeken op bestandsnaam op Internet is geen manier om aan te tonen dat
een bestand veilig is.
daarvoor waarschuwt. Dat doen ze niet voor niets.
Zoeken op bestandsnaam op Internet is geen manier om aan te tonen dat
een bestand veilig is.
31-03-2007, 17:56 door
G-Force
UPDATE:
Er is zover ik heb kunnen nagaan sprake van een legitiem
programma (KillWind.exe), alleen er bestaat helaas malware die - na besmetting van een systeem - actief op zoek gaat naar executables zoals
AdminKill.exe en KillWind.exe en ze vervolgens laat uitvoeren.
Om te voorkomen dat malware meer schade berokkent dan alleen
maar een infectie, raadt McAfee aan om deze POP's (Pontenieel Ongewenste Programma's) te verwijderen.
Er is zover ik heb kunnen nagaan sprake van een legitiem
programma (KillWind.exe), alleen er bestaat helaas malware die - na besmetting van een systeem - actief op zoek gaat naar executables zoals
AdminKill.exe en KillWind.exe en ze vervolgens laat uitvoeren.
Om te voorkomen dat malware meer schade berokkent dan alleen
maar een infectie, raadt McAfee aan om deze POP's (Pontenieel Ongewenste Programma's) te verwijderen.
Ik kreeg vandaag ook de melding door Mcafee, dit alleen
omdat ik op de website van Trend Mircro een gratis malware
scan deed.
Bedankt voor het plaatsen van dit artikel! Het heeft mij
voldoende informatie gegeven.
omdat ik op de website van Trend Mircro een gratis malware
scan deed.
Bedankt voor het plaatsen van dit artikel! Het heeft mij
voldoende informatie gegeven.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
