Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Winzip: legitiem of malware?

27-08-2013, 05:03 door Anoniem, 15 reacties
Ik heb vandaag het programma Winzip gedownload,het kwam mee tijdens de download van Spotflux.Scan gedaan en Malwarebytes ziet maar liefst 29 bestanden aan voor malware,allemaal verbonden met winzip.Hitman Pro scan gedaan die vond alleen wat trackingcookies,maar verder niks verdachts. En ik heb ook een volledige scan gedaan met Kaspersky Pure 3.0 en ook die gaf geen alarm.Is hier dan sprake van een false positive door Malwarebytes? Ik had gehoopt de bestanden aan virustotal voor te leggen,maar dit kan schijnbaar niet via Malwarebytes.Alle knopppen,ook die van gereedschap functioneren niet,behalve Malwarebytes afsluiten.
Reacties (15)
27-08-2013, 11:19 door Anoniem
Waar download je dat? Toch niet bij download.com hoop ik? Die voegt adware toe aan programma's, blijf daar altijd weg...

Ook kan het best zijn dat Winzip nu zelf al voorzien is van de bekende ongewenste troep die je in steeds meer gratis
software aantreft. De ene scanner noemt dat malware, de andere niet.
27-08-2013, 11:31 door Spiff has left the building
Eerste vraag, zoals altijd in dit soort gevallen:
Van welk adres heb je gedownload?
Van http://www.spotflux.com/,
of van een betrouwbare alternatieve downloadlocatie zoals SnapFiles of Softpedia,
of van een of ander dubieus adres?
Heb je niet gedownload van een betrouwbaar adres, deïnstalleer de boel dan wellicht, en download van spotflux.com.

Tweede:
Heb je het gedownloade Spotflux installatiebestand gecontroleerd door middel van je eigen scanners en door middel van VirusTotal?

Derde:
Werd WinZip bij installatie van Spotflux wellicht aangeboden als "recommended" extraatje?
Dat soort 'aanbevelingen' zie je bij veel gratis software, en vrijwel altijd is het aan te raden dergelijke extraatjes af te wijzen door bij installatie daartoe het betreffende vinkje weg te halen.
Werd WinZip bij installatie van Spotflux meegeïnstalleerd als "recommended" extraatje, deïnstalleer het dan wellicht zekerheidshalve.
WinZip is overigens geen gratis software, maar kan als trial gebruikt worden. Doorgaans heb je WinZip ook helemaal niet nodig. Zo nodig is het gratis alternatief 7-Zip of eventueel PeaZip te gebruiken.

Ten slotte:
Eerder dit jaar had iemand enigszins vergelijkbare problemen met Spotflux, zie:
https://www.security.nl/posting/40925/Spotflux+bevat+malware%3F
27-08-2013, 13:54 door Spiff has left the building - Bijgewerkt: 27-08-2013, 14:04
Vervolg op mijn reactie van 11:31 uur

Wás het werkelijk wel WinZip dat je hebt meegeïnstalleerd met Spotflux,
of mogelijk een van de vele ándere WinZip producten?
Zoals bijvoorbeeld de onzinnige WinZip Registry Optimizer, of de WinZip Driver Updater.
Zie: http://www.winzip.com/win/en/prod_info.htm
Dergelijke driver updaters en zogenaamde 'registry optimizers' zijn typerend voor de bij de installatie van andere software als "recommended" extraatjes aangeboden rommel.
27-08-2013, 15:39 door Anoniem
Door Spiff: Vervolg op mijn reactie van 11:31 uur

Wás het werkelijk wel WinZip dat je hebt meegeïnstalleerd met Spotflux,
of mogelijk een van de vele ándere WinZip producten?
Zoals bijvoorbeeld de onzinnige WinZip Registry Optimizer, of de WinZip Driver Updater.
Zie: http://www.winzip.com/win/en/prod_info.htm
Dergelijke driver updaters en zogenaamde 'registry optimizers' zijn typerend voor de bij de installatie van andere software als "recommended" extraatjes aangeboden rommel.
Hoi hier de TS,het betreft hier inderdaad Winzip Driver Updater. Ik heb nogmaals een snelle scan gedaan met Malwarebytes en die vondt 24 verdachte bestanden,allemaal te maken met winzip driver updater.Ik heb Malwarebytes het laten verwijderen,alleen op bureaublad staat nog steeds het logootje van winzip driver updater en ook in de programmalijst staat ie nog steeds,maar als ik erop klik zegt ie: probleem met snelkoppeling die is verplaatst of verwijderd.Volledige scan daarna met Malwarebytes vondt geen verdachte bestanden meer. Ik kreeg vandaag t daarnet na opstarten pc en nadat ik een snelle scan met kaspersky had gestart een blue screen.Windows heeft het voorlopig even opgelost,maar ik vrees dat het nogmaals zal gebeuren.In programma's en onderdelen programma verwijderen heb ik winzip driver updater echter niet meer zien staan en ook in CC Cleaner zie ik het programma niet staan. Wat moet ik nu doen? Systeemherstel,dus pc terugzetten naar een datum voor de download en installatie van de recenste Spotflux annex winzip driver update download? Nogmaals windows schijnt voor nu het blue screen probleem te hebben verholpen.Maar wat nu? Stel het blue screen fenomeen duikt vandaag of morgen weer op?
27-08-2013, 15:55 door Anoniem
Nogmaals TS: eerste vraag: ja gedownload van/via www.spotflux.com. Tweede vraag: handmatig niks geen installatiebestand gecontroleerd,maar ik mag toch aannemen dat kaspersky pure dat automatisch doet.hoewel die geen melding gaf,noch positief noch negatief (het programma staat ingesteld op zelfdenkend,aangezien in geen verstand van zaken heb omtrent bestanden en beveiliging). Ik had ook geen aanleiding om het programa winzip driver updater te wantrouwen.Het gaf aan dat veel drivers op mn pc verouderd zijn,dat kan kloppen,hoewel er een jaar geleden een windows herinstallatie is gedaan.Maar toen ik ging Googlen op winzip( driver updater) las ik dat het wellicht toch een vorm van malware is of bevat.Toen ik diverse scans deed,waaronder die met Malwarebytes en deze alarm sloeg besloot ik uiteindelijk om Malwarebytes de verdachte bestanden te laten verwijderen die staan nu dus in quarantaine .Spotflux zelf kreeg ik geen verdacht of malware- melding over,noch van kaspersky,noch van hitman pro,noch van Malwarebytes,dus Spotflux staat nog steeds op mn pc.
27-08-2013, 17:07 door Spiff has left the building - Bijgewerkt: 27-08-2013, 17:25
@ topicstarter, n.a.v. je reacties van 15:39 en 15:55 uur,

Fijn dat je Spotflux hebt gedownload van spotflux.com en niet van een dubieus adres.
Dat sluit in ieder geval redelijk uit dat je een gemanipuleerd of anderszins 'fout' installatiebestand had.

En het bleek dus inderdaad niet WinZip, maar WinZip Driver Updater dat werd mee-aangeboden en mee-geïnstalleerd.
Je schrijft, "Ik had geen aanleiding om het programma WinZip Driver Updater te wantrouwen".
Doe dat een volgende keer zekerheidshalve maar wel.
Bij alles dat bij een programma-installatie wordt aangeboden als "recommended" extraatjes kun je er vanuit gaan dat je dat niet nodig hebt, en het is aan te raden dergelijke extraatjes af te wijzen door bij installatie daartoe de betreffende vinkjes weg te halen.

Wat betreft je huidige installatie van WinZip Driver Updater,
je kunt proberen om alle door middel van Malwarebytes Anti-Malware verwijderde WinZip Driver Updater elementen weer terug te zetten uit quarantaine,
en vervolgens proberen WinZip Driver Updater te verwijderen via een eventuele deïnstallatie-optie voor WinZip Driver Updater via Windows Menu Start, Alle programma's, WinZip Driver Updater, Uninstall,
of als die optie niet aanwezig is, dan via de gangbare manier via Configuratiescherm, Programma's en onderdelen, Een programma verwijderen, WinZip Driver Updater, Verwijderen.

Heb je naast het ingrijpen door middel van Malwarebytes Anti-Malware echter tevens bijvoorbeeld door middel van CCleaner al register-elementen of andere onderdelen van WinZip Driver Updater verwijderd, dan zal verwijderen van WinZip Driver Updater mogelijk niet meer slagen, of niet volledig.
In dat geval is Systeemherstel met het terugzetten van een herstelpunt van vóór het installeren van Spotflux en WinZip Driver Updater wellicht het verstandigste.
Is dat Systeemherstel goed geslaagd en zijn de sporen van Spotflux en WinZip Driver Updater netjes verdwenen, dan kun je daarna Spotflux opnieuw installeren, maar dan nu zonder extraatjes zoals WinZip Driver Updater.

Ten slotte nog,
waar ik vroeg of je het Spotflux installatiebestand had gecontroleerd door middel van je eigen scanners en door middel van VirusTotal, daar bedoelde ik niet dat dat noodzakelijk zou zijn (al kan het zeker nooit kwaad, in het bijzonder met programma's die je voor het eerst gebruikt), maar ik was benieuwd of je het bestand gecontroleerd had omdat dat meer informatie kon verschaffen over de vraag of het installatiebestand deugde of niet.

Gezien al het bovenstaande ga ik er vanuit dat er met het Spotflux installatiebestand niet werkelijk iets mis was, maar dat bij installatie extra software wordt aangeboden ter installatie (door middel van OpenCandy of vergelijkbaar) en dat die extra software, die WinZip Driver Updater, alarmbelletjes doet rinkelen bij Malwarebytes Anti-Malware.

Over OpenCandy en hoe dat werkt:
http://www.ghacks.net/2012/08/06/opencandy-explained-what-you-need-to-know-about-the-technology/
http://www.techsupportalert.com/content/controversial-advertising-program-now-being-embedded-more-software.htm
28-08-2013, 14:26 door Anoniem
Gelukkig had ik CC Cleaner nog niet gebruikt.Ik heb de Malwarebytes de bestanden in de quarantaine weer terug laten zetten en vervolgens heb ik via Programma's >Programma verwijderen Winzip Driver Updater verwijderd. Doe nu even een volledige scan met Malwarebytes en zal ook Kaspersky volledige scan laten doen en ook Hitman Pro er nog even op los laten.
29-08-2013, 13:34 door Spiff has left the building - Bijgewerkt: 29-08-2013, 13:37
Is het goed gelukt?
Werd na het verwijderen van WinZip Driver Updater en het vervolgens scannen met je diverse scanners niks meer gevonden dat de malware scanners in de gordijnen joeg?
En blijven Windows blue screens nu ook uit?
Ik hoop het.
En dan in het vervolg bij het installeren van software de aangeboden "geadviseerde" extraatjes zekerheidshalve maar afwijzen. Want dat is vrijwel zonder uitzondering spul dat onnodig of zelfs hinderlijk is, en een enkele keer betreft het iets dat vanwege een duidelijker adware-karakter zelfs een alarm-reactie uitlokt bij sommige malware scanners.
24-10-2013, 14:58 door hx0r3z
Softsonic.com voegt ook adware toe en scare-ware. Dat soort bedrijven/websites moeten echt uit de lucht.
Ze komen vaak zelfs serieus boven aan als 2e resultaat bij Google. Wat denk je wel hoeveel mensen Regpro clean and dergelijk adware/malware op hun pc krijgen, die gasten moeten rijk daarvan worden met zo'n goeie SEO'ed website en al die adware/scare-ware/malware. Echt vies rijk.

Etterbakken zijn het. Man kan ik me echt aan ergeren, klein zielig gedrag. Zo kinderachtig.
24-10-2013, 18:52 door Anoniem
Door TS: Nogmaals windows schijnt voor nu het blue screen probleem te hebben verholpen.Maar wat nu? Stel het blue screen fenomeen duikt vandaag of morgen weer op?
BsoD (blue screen of death) komen juist vaak door verouderde drivers of kapotte hardware. Probeer anders Secunia PSI eens. [urlhttps://secunia.com/vulnerability_scanning/personal/[/url]

SOFTWARE ALTIJD DOWNLOADEN BIJ DE ORIGINELE BRON !!!
Dus ook nooit "betrouwbare" download-sites (mirrors) gebruiken, je weet nooit of die nog steeds betrouwbaar zijn...
Als je dat wel doet altijd de hash controleren, maar dat is gezien je eerste post waarschijnlijk wat te veel gevraagd.

En natuurlijk regelmatig even een back-up maken op een extern opslagmedium, systeemherstel is niet bepaald zaligmakend.
24-10-2013, 22:26 door Anoniem
Waarom nu nog winzip? 7zip is een goed en gratis alternatief, als je de standaard zip van win7/8 niet voldoende vindt.
25-10-2013, 10:50 door Spiff has left the building
Aan wie nu nog reageert op deze thread:
De topicstarter laat sinds 28-08-2013, 14:26 uur, niets meer van zich horen, dus reageren is weinig nuttig meer.


En als je dan toch per se nog wilt reageren, neem dan de moeite eerst de thread even door te nemen.
Zo is eerder in deze thread al vastgesteld dat de topicstarter het installatiebestand had gedownload van de originele aanbieder, en niet van een twijfelachtige mirror-site.

Zie: https://www.security.nl/posting/361464#posting361506

Ook is eerder in deze thread al vastgesteld dat het niet WinZip betrof, maar een met Spotflux als zogenaamd "recommended" extraatje mee-aangeboden en mee-geïnstalleerde WinZip Driver Updater.
Zie: https://www.security.nl/posting/361464#posting361504

En aan de topicstarter ten slotte nog dit:
https://www.security.nl/posting/361464#posting361706
en https://www.security.nl/posting/36124/
Bedankt.
26-10-2013, 09:57 door Anoniem
Door Spiff: Aan wie nu nog reageert op deze thread:
De topicstarter laat sinds 28-08-2013, 14:26 uur, niets meer van zich horen, dus reageren is weinig nuttig meer.


En als je dan toch per se nog wilt reageren, neem dan de moeite eerst de thread even door te nemen.
Zo is eerder in deze thread al vastgesteld dat de topicstarter het installatiebestand had gedownload van de originele aanbieder, en niet van een twijfelachtige mirror-site.

Zie: https://www.security.nl/posting/361464#posting361506

Ook is eerder in deze thread al vastgesteld dat het niet WinZip betrof, maar een met Spotflux als zogenaamd "recommended" extraatje mee-aangeboden en mee-geïnstalleerde WinZip Driver Updater.
Zie: https://www.security.nl/posting/361464#posting361504

En aan de topicstarter ten slotte nog dit:
https://www.security.nl/posting/361464#posting361706
en https://www.security.nl/posting/36124/
Bedankt.
Jij en de TS zijn niet de enige mensen die dit topic zouden kunnen lezen, dus alle extra informatie zou zo maar welkom kunnen zijn, beetje vreemd om zo'n schreeuwerige reactie juist van jou te moeten lezen Spiff.

Gaat alles wel goed verder? (Absoluut niet sarcastisch bedoeld!)

"Don't say NO, just say Oh..."
26-10-2013, 13:40 door Spiff has left the building
Door Anoniem, 09:57 uur:
Jij en de TS zijn niet de enige mensen die dit topic zouden kunnen lezen, dus alle extra informatie zou zo maar welkom kunnen zijn
Daar heb je in principe natuurlijk gelijk in.
Door Anoniem, 09:57 uur:
beetje vreemd om zo'n schreeuwerige reactie juist van jou te moeten lezen Spiff.
Mijn reactie kwam voort uit een oprechte ergernis.
Dit door de combinatie van een topicstarter die niet meer reageert, en sommige reageerders die overduidelijk niet de moeite hebben genomen eerst de thread te lezen voordat ze reageren, waardoor reacties volgen op basis van aannames die eerder in de thread al zijn weerlegd. Het nut van dergelijke reacties is mijns inziens ver te zoeken.
Ik vind dergelijk postgedrag dusdanig nalatig en slordig dat het me flink kan ergeren.
In sommige gevallen levert dat dan een scherpe reactie zoals die van gisteren 10:50 uur op. Juist van mij ;-)
27-10-2013, 09:03 door cjkos
Door Anoniem: Waarom nu nog winzip? 7zip is een goed en gratis alternatief, als je de standaard zip van win7/8 niet voldoende vindt.

Kennelijk omdat je de extra mogelijkheden van Winzip nog niet kent? Misschien omdat je met Winzip nog wat extra mogelijkheden hebt die je bij zip7 niet hebt. Zoals encryptie, paswoord protection, meegeven van extra informatie en hash tags/md5 check files die soms toch nodig zijn.

Voor de simpele minimale zip en unzip functies is 7zip wel makkelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.