Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SoftPerfect Netscan: Trojan of false positive?

12-06-2010, 02:25 door Bitwiper, 9 reacties
Op http://www.softperfect.com/products/networkscanner/ kun je de gratis SoftPerfect Network Scanner downloaden; op 28 mei j.l omstreeks 22:00 (+0200) heb ik versie 4.4.7 gedownload (die volgens de webpage op 13 mei is gepubliceerd).

Gegevens van het bestand "netscan.exe" dat ik gedownload heb:
Lengte: 739,840 bytes
MD5: 8c31aeb125b0cfb1fbc7b247cf3578f5
SHA1: 551d62245885caf5ebb7132cf4dd55d095c9747c
Digital signature: nee
Packed middels UPX (is probleemloos uit te pakken)

Vanwege het ontbreken van een digitale handtekening heb ik de SHA1 hash van het bestand ingevoerd in http://www.virustotal.com/buscaHash.html. Daar bleek hetzelfde bestand al een dag eerder te zijn gescanned, dus vond ik het niet nodig om het te uploaden. Het resultaat van die scan op 2010.05.27 13:55:01 (UTC) is hier te vinden: http://www.virustotal.com/analisis/c236c26a40f6dfcda96bd48bb3d3f2e36eb428d8c06746eef63017a619bf96eb-1274968501, met als resultaat 1 van de 41 scanners die een melding geeft:
ClamAV ____0.96.0.3-git___2010.05.27___PUA.NetTool.Scanner-4
Dat is duidelijk een waarschuwing voor een potentieele cracker-tool, maar meer ook niet (vergelijkbare meldingen zie je vaak bij tools zoals netcat en de "pstools" set van sysinternals).

Echter: sinds 9 juni meent Kasperksy dat het hierbij om een trojan gaat van het type "Trojan.Win32.Refroso.bkau". Daarop heb ik de SHA1 hash van het bestand opnieuw aangeboden aan VirusTotal, op dat moment met het volgende resultaat:
Result: 3/41 (7.32%)
ClamAV____ 0.96.0.3-git___2010.06.09___PUA.NetTool.Scanner-4
eSafe______7.0.17.0_____ 2010.06.08___Win32.Corrupt.Ep
Kaspersky__ 7.0.0.125____2010.06.09___ Trojan.Win32.Refroso.bkau

Ik heb Kasperksy via hun website op de hoogte gebacht van het probleem, maar behalve een automatisch gegenereerde e-mail geen reactie ontvangen.

Op donderdagmiddag was er een vierde scanner bijgekomen (Jiangmin) en zojuist zag ik dat de teller op 5 staat (zie http://www.virustotal.com/analisis/c236c26a40f6dfcda96bd48bb3d3f2e36eb428d8c06746eef63017a619bf96eb-1276240961):
Result: 5/41 (12.20%)
Antiy-AVL____2.0.3.7_____ 2010.06.11___ Trojan/Win32.Refroso.gen
ClamAV_____0.96.0.3-git_ 2010.06.11____PUA.NetTool.Scanner-4
eSafe______ 7.0.17.0____ 2010.06.10____Win32.Corrupt.Ep
Jiangmin___ 13.0.900____2010.06.11____Trojan/Refroso.jcr
Kaspersky__ 7.0.0.125___ 2010.06.11____Trojan.Win32.Refroso.bkau

Als ik het bestand uitpak (met UPX 3.04w) dan leidt dit tot:
filename (die heb ik eraan gegeven): netscan_v4_47_upx_unpacked.exe
Lengte: 2,414,080 bytes
MD5: cbd2a32360b3b7746d7d825604751127
SHA1: 98f24d79ef6c1b3d3c71c20f23332cb5a89e132c

Check van die hash op virustotal, is op 9 juni gescanned (zie http://www.virustotal.com/analisis/829bc67e3ac2891ac6630ae1a2134490fe8fadaaefc16bcd2a65b2d66c9dc32a-1276107915):
Result: 1/41 (2.44%)
ClamAV____ 0.96.0.3-git__2010.06.09 ____PUA.NetTool.Scanner-4

Ik heb dat bestand zojuist opnieun geupload en laten scannen, met het volgende resultaat (zie http://www.virustotal.com/analisis/829bc67e3ac2891ac6630ae1a2134490fe8fadaaefc16bcd2a65b2d66c9dc32a-1276300762):
Result: 2/41 (4.88%)
ClamAV____0.96.0.3-git__2010.06.11_____PUA.NetTool.Scanner-4
Kaspersky__7.0.0.125___2010.06.11_____Trojan.Win32.Refroso.bkmg

Resumerend:
(1) Eind mei, ruim 2 weken na het verschijnen van netscan.exe v4.4.7, vindt geen enkele scanner malware in dat bestand (in de zin van een trojan of virus, ClamAV meldt dat het om een tool gaat die je normaal gesproken niet vindt op PC's van doorsnee gebruikers). Als hier daadwerkelijk malware in zit biedt dus geen enkele virussscanner bescheming (Kaspersky klaagde ook niet toen ik het programma draaide, so far for runtime-detectie).

(2) Op 9 juni (bijna 1 maand na publicatie) ziet Kasperksy een trojan in netscan.exe, en vindt eSafe dat er sprake is van een corrupte Win32 executable (waarom nu pas? of moet ik deze melding anders uitleggen?).

(3) Echter, als ik de UPX-comressed binary uitpak en door virustotal laat testen, meldt alleen ClamAV iets, namelijk "PUA.NetTool.Scanner-4".

(4) Sinds vandaag vinden 4 van de 41 scanners dat er wat mis is met netscan.exe, en 1 met netscan_v4_47_upx_unpacked.exe (ClamAV niet meegerekend).

Conclusies en vragen:
(A) Als Kaspersky gelijk heeft, dan hebben de meeste andere virusscanner-makers zitten slapen.

(B) Maar Kaspersky is ook niet fris; ten eerste duurt het bijna een maand na het verschijnen voordat Kasperksy detectie biedt, en waarom duurt het vervolgens nog een paar dagen voordat ook in de UPX-unpacked versie malware wordt ontdekt?

(C) Hoe komt het dat er schijnbaar elke dag een virusscanner bijkomt die netscan.exe kwaadaardig vindt?

(D) Elke degelijk virusscanner moet UPX beheersen. Hoe kan het dan dat ondertussen meerdere virusscanners kwaad zien in netscan.exe maar niet of later in netscan_v4_47_upx_unpacked.exe?

(E) Wat hebben we eigenlijk nog aan virusscanners met zulk onvoorspelbaar gedrag?
Reacties (9)
12-06-2010, 03:10 door Anoniem
Wanneer een virusscanner iets als virus ziet en de samples worden gedeeld, dan zullen andere scanners het ook gaan detecteren. Geen enkele anti-virus software fabrikant heeft de capaciteit om malware per stuk te gaan controleren. Ze werken dus samen.

Commercieel is er ook reden om malwaredetectie toe te voegen, want het kan door testers worden gebruikt. Testers hebben natuurlijk ook niet de gelegenheid om alle malware te controleren.
12-06-2010, 22:51 door Anoniem
Dit is waarschijnlijk toch het gevolg van het feit hoe heuristische scanners omgaan met packers als UPX, sommige flaggen UPX omdat deze ook door malcreanten wordt gebruikt. Obfuscatie en code protectie wordt dan gezien als iets verdachts en de grenzen worden natuurlijk steeds kleiner tussen adtrack code met zware obfuscatie en mogelijk kwaadaardig gebruik en sommige scanners nemen dan het zekere voor het onzekere. Dat dat frusterend kan zijn voor mensen die alle code nachecken via Wepawet en jsunpack een slechte zaak, maar de gemiddelde gebruiker laat zich snel imponeren,
14-06-2010, 12:36 door Anoniem
Voor de originele detectie heb ik niet echt iets toe te voegen aan boventstaande post.
Het verspreiden van deze false positive kan mischien verklaard worden door volgend artikel: http://research.pandasecurity.com/automated-false-positives/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PandaResearch+%28Panda+Research%29
14-06-2010, 13:02 door [Account Verwijderd]
[Verwijderd]
16-06-2010, 00:44 door Bitwiper
Dank voor jullie reacties!
Door Anoniem: Dit is waarschijnlijk toch het gevolg van het feit hoe heuristische scanners omgaan met packers als UPX, sommige flaggen UPX omdat deze ook door malcreanten wordt gebruikt.
Dat verklaart niet waarom dezelfde file, eerst niet, en later wel als kwaadaardig wordt gezien. Bovendien klinkt "Trojan.Win32.Refroso.bkau" niet als een generieke UPX-detectie-waarschuwing.
Door Anoniem: Het verspreiden van deze false positive kan mischien verklaard worden door volgend artikel: http://research.pandasecurity.com/automated-false-positives/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PandaResearch+%28Panda+Research%29
Daar zit wel wat in. Gevaarlijke ontwikkeling overigens, als straks McAfee weer eens malware ziet in kernel32.exe of zo, en andere AV-boeren nemen dit over zonder nadenken, dan wordt het echt een zootje.
16-06-2010, 00:49 door Bitwiper
Overigens begint het hele zaakje me steeds minder te bevallen: ondertussen (ik vermoed 14 juni) is de downloadable binary ban NetScanner op de website van SoftPerfect gewijzigd, zonder dat het versienunner is is aangepast, de versie-log is bijgewerkt of er op andere wijze melding van is gemaakt. Daarom heb ik het volgende mailtje naar SoftPerfect support gestuurd, ik hou jullie op de hoogte als er ontwikkelingen zijn:
Hello Softperfect support,

Thanks for nice free tools such as SoftPerfect Network Scanner!
However, I'm not sure about the integrity of version 4.4.7.0 (actually there are at least 2 different versions 4.4.7.0).

At the end of may 2010 I downloaded version 4.4.7.0 with md5=8c31aeb125b0cfb1fbc7b247cf3578f5.
About a week later Kaspersky detected malware in it. Afterwards more antivirus scanners found malware in this file.

MD5: 8c31aeb125b0cfb1fbc7b247cf3578f5
File length, UPC compressed: 739840 bytes (UPX-uncompressed: 2,414,080 bytes)
First received at VirusTotal: 2010.05.27 13:55:01 UTC
I just uploaded it again, see: http://www.virustotal.com/analisis/c236c26a40f6dfcda96bd48bb3d3f2e36eb428d8c06746eef63017a619bf96eb-1276638444
Result: 7/40 (17.5%)
Note: I'm aware that the ClamAV analysis, "PUA.NetTool.Scanner-4", doesn't indicate something malicious. and I don't worry about detections such as "Win32.Corrupt.Ep". However, other scanners explicitly indicate a trojan component, and McAfee provides a cloud-based-detection:

Antiy-AVL: Trojan/Win32.Refroso.gen
Comodo: TrojWare.Win32.Refroso.bkau
Jiangmin: Trojan/Refroso.jcr
Kaspersky: Trojan.Win32.Refroso.bkau
McAfee-GW-Edition: Artemis!8C31AEB125B0

Okay, this might be caused by some false positive.

Interestingly the executable has recently changed on your website, probably on june 14 (new md5: 1b79be1a0c64d6b066db25de1b949cbd; File length, UPC compressed: 739840 bytes -> unchanged; uncompressed: 2,415,616 -> changed).
Its version number is still 4.4.7.0, and the changelog on you website has not changed. However, some virusscanners still detect malware in it. According to http://www.virustotal.com/analisis/37df9ce5cc6452220f84f13adfe42e257a810d8476762ac14eab6ff012e78316-1276638378 the
result is 4/41 (9.76%):

Kaspersky: Trojan.Win32.Refroso.bleb
VBA32: Trojan.Win32.Refroso.bkrv
McAfee-GW-Edition: Artemis!1B79BE1A0C64

I see the following possibilities that may explain explain this behaviour:

(1) It's a false positive, perhaps based on a library you use. You've updated the file on the website without updating the version number because only minor changes were made (nothing malicious, but very unprofessional version management).

(2) Someone has illegal access to you website and has trojaned the executable. Possibly the attackers replaced the binary (on june 14?) because too many virusscanners were detecting the old binary as malicious.

(3) One of your employees, or SoftPerfect as a whole, no longer deserves our trust because you're distributing malicious software.

Can you please elaborate on what's going on?

Thanks,
Bitwiper

P.S. I've posted about this issue here (in Dutch): http://www.security.nl/artikel/33595/1/SoftPerfect_Netscan%3A_Trojan_of_false_positive%3F.html
17-06-2010, 00:24 door Bitwiper
Onderstaand het antwoord dat ik vandaag van support bij softperfect punt com kreeg:
Hi Bitwiper,

It's all much simpler. Somewhere earlier in June Kasperksy began
detecting the network scanner as a Trojan. A few other antivirus
products followed shortly thereafter as they apparently steal
signatures from one another.

We decided to recompile the latest version of the software hoping that
would have helped. The rationale was that the binary file is not
exactly the same even if built from the same source twice in a row.
This helped but not entirely.

After all, we e-mailed Kaspersky and let them know about the false
alarm. They admitted their mistake and update the database. You can
re-check the network scanner at www.virustotal.com and see that it's
no longer flagged malicious.
The status at virustotal is now as follows:

The old netscan.exe v4.4.7 (md5=8c31aeb125b0cfb1fbc7b247cf3578f5, see http://www.virustotal.com/analisis/c236c26a40f6dfcda96bd48bb3d3f2e36eb428d8c06746eef63017a619bf96eb-1276722678):
Antiy-AVL - 2.0.3.7 - 2010.06.11: Trojan/Win32.Refroso.gen
ClamAV - 0.96.0.3-git - 2010.06.16: PUA.NetTool.Scanner-4
Comodo - 5123 - 2010.06.16: TrojWare.Win32.Refroso.bkau
eSafe - 7.0.17.0 - 2010.06.16: Win32.Corrupt.Ep
Jiangmin - 13.0.900 - 2010.06.15: Trojan/Refroso.jcr
Kaspersky - 7.0.0.125 - 2010.06.16: Trojan.Win32.Refroso.bkau
McAfee-GW-Ed. - 2010.1 - 2010.06.16: Artemis!8C31AEB125B0
VBA32 - 3.12.12.5 - 2010.06.16: Trojan.Win32.Refroso.bkau
Difference with yesterday: 2 more scanners consider this file malicious: Comodo and eSafe.

The new netscan.exe v4.4.7 (md5=1b79be1a0c64d6b066db25de1b949cbd, see http://www.virustotal.com/analisis/37df9ce5cc6452220f84f13adfe42e257a810d8476762ac14eab6ff012e78316-1276721901):
ClamAV - 0.96.0.3-git - 2010.06.16: PUA.NetTool.Scanner-4
McAfee-GW-Edition - 2010.1 - 2010.06.16: Artemis!1B79BE1A0C64
Panda - 10.0.2.7 - 2010.06.16: Suspicious file
VBA32 - 3.12.12.5- 2010.06.16 - Trojan.Win32.Refroso.bkrv
Difference with yesterday: Kaspersky no longer consider this file malicious, however Panda now says it's a suspicious file.

Yesterday night I downloaded some more files from softperfect.com. In the latest networkx.exe, only F-Secure reports:
F-Secure - 9.0.15370.0 - 2010.06.15: Suspicious:W32/Malware!Gemini
No scanner complained about Sofperfect Personal Firewall.

Conclusion: it's a mess, but I believe Softperfect. This is another dent in my trust in virusscanners. If some arbitrary AV vendor (Kaspersky in this case, but it could have been any vendor) decides to blacklist software - without providing a proper description of the "malicious activity" apparently performed, other AV vendors will follow - apparently without any serious analysis - just malicious because Kaspersky says so. What's a layman supposed to do? Trust the software maker or a number of virus scanners? This could be disastrous for small sofware companies.

I use a payed subscription of Kaspersky, and posted a question about this false positive on Kasperksy's website on june 9. Apart from an automated reply Kaspersky did not bother to contact me. AV may not be dead and burried yet, but its very ill for sure.

[edited 00:54: had the results of the old and the new file in the wrong order]
17-06-2010, 00:40 door Bitwiper
Dutch translation: een support medewerker van Softperfect heeft m'n mail beantwoord. Hij stelt daarin ongeveer:
Het is veel simpeler dan je stelt. Ergens begin juni begon Kaspersky de netwerk-scanner als een trojan te detecteren. Een aantal andere antivirus producenten volgden kort daarop, kennelijk doordat ze de signatures van elkaar stelen.

We hebben de laatste versie opnieuw gecompileerd in de hoop dat dit zou helpen. Het idee erachter was dat de binaire file niet hetzelfde wordt zelfs als je deze twee keer achter elkaar vanuit dezelfde sources bouwt. Dit hielp maar niet voldoende.

Uiteindelijk hebben we Kaspersky een e-mail gestuurd en hen op de hoogte gebracht van het valse alarm. Zij gaven hun fout to en hebben de database [de auteur bedoelt virusdefinities] geupdate. Je kunt de netwerk scanner opnieuw aanbieden op virustotal en zien dat deze niet langer als kwaadaardig wordt gezien.
Dat opniew aanbieden heb ik dus gedaan, zie boven. Wat er bereikt is, is dat Kasperksy de oude versie 4.4.7 niet meer als kwaadaardig ziet; die kun je echter niet meer downloaden. De versie die je wel kunt downloaden wordt nu door 7 scanners (in plaats van de 3 van gisteren) als kwaadaardig herkend (in alle gevallen ClamAV niet meegerekend).

Conclusie: het is een puinhoop, maar ik geloof SoftPerfect. Dit is een nieuwe deuk in mijn vertrouwen in vriusscanners. Als een willekeurige AV boer (in dit geval Kaspersky, maar het had elke AV-boer kunnen zijn) besluit om een computerprogramma op een zwarte lijst te plaatsen, zonder ergens uit te leggen waar het kwaadaardige gedrag uit zou bestaan, lijken andere AV-boeren dit op te volgen - kennelijk zonder enige serieuze analyse - alleen maar omdat Kasperksy zegt dat het bestand kwaadaardig is. Wat moet je daarmee als leek? De softwaremaker vertrouwen of een aantal virusscanners? Dit kan heel verkeerd uitpakken voor kleine softwarebedrijven.

Ik gebruik een legale (betaalde) versie van Kaspersky, en heb op 9 juni op hun website een vraag over deze false positive gesteld. Buiten een automatisch gegenereerd antwoord (via e-mail) heeft Kaspersky niet de moeite genomen om contact met me op te nemen. AV is misschien nog niet dood en begraven, maar wel heel erg ziek.
18-06-2010, 20:01 door Anoniem
Mja, inderdaad niet echt goed van Kaspersky mischien, maar ook niet echt goed van Softperfect. Als ze onmiddelijk kaspersky en alle andere vendors had gecontacteerd hadden die wel gezorgd dat die detectie ongedaan zou gemaakt worden.

Naar mijn ervaring met av-vendors gebeurt dat meestal toch vrij snel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.