Computerbeveiliging - Hoe je bad guys buiten de deur houdt

F-Secure containing trojan?

04-08-2012, 17:10 door Anoniem, 7 reacties
Omdat op een Trojaans paard wedden nooit de oplossing is als het gaat om dergelijke grazers buiten de deur te houden, ben ik uit nieuwsgierigheid eens PC's gaan scanner waar al viruscanners op geïnstalleerd zijn, maar welke niet geïnfecteerd leken.

Het volgende viel mij telkens op bij computers waar F-secure geïnstalleerd was; De bootdisk van Kaspersky vindt d.m.v. heuristic analyse telkens een Script: trojan.script.genetic in C:\Program Files\F-Secure\FSAUA\content\aquawin32\randomcijferreeks\cevakrnl.rv0

In deze file is beperkt plaintext aanwezig waarin de namen van verschillende trojans voorkomen en ook "bootsector imunized by bitdefender as result of.."

Nu kan dit natuurlijk een false positive zijn; maar het kan ook een ongenode gast zijn die binnen no time via een exploit binnenkomt op allerlei computers en welke F-Secure (nog) niet kan detecteren. Het kan echter ook aan het gedrag van de scanner zelf liggen (onderwater toch verdacht gedrag van binfiles naar F-Secure sturen ter analyse). Of het is kwaadaardige code die F-Secure in een sandbox draait om het gedrag te herkennen / vergelijken. Of het is natuurlijk een wettelijk verplichte backdoor.

Vreemd is ook dat de 'trojan' zich niet verplaatst en maar op een locatie aanwezig is en blijft.

Is er iemand dit diezelfde gedrag heeft opgemerkt en inmiddels weet wat hiervan de oorzaak is?
Reacties (7)
05-08-2012, 12:47 door Fwiffo
Ik gebruik F-Secure van XS4All onder Vista 32 bits en de directory die je noemt komt mij bekend voor (met ClamAV). Je kan het bestand altijd uploaden naar virustotal. Ik heb het zo een tijdje gevolgd maar ben tot de conclusie gekomen dat dit een false positive is. Overigens heb ik deze week een update gehad van F-Secure en nu lijkt de melding weg met ClamAV na een snelle scan van de directory van F-Secure.

Mijn theorie is dat dit iets met de Cloud te maken heeft en dat het daardoor voor andere scanners op malware lijkt (mijn modem knippert altijd tijdens een volledige F-Secure scan). F-Secure zelf detecteerde het niet (en ik ben over het algemeen zeer voorzichtig onder Windows).

(edit) Ha, hij staat nu in C:\ProgramData\f-secure\FSAUA\Content\aquawin32\etc.:
https://www.virustotal.com/file/683B7F9056C0353849C8F896B641D3BD9A027AC631B2067DAC20B87863A2FBD0/analysis/
05-08-2012, 18:13 door Anoniem
Goed opgemerkt; Kaspersky is dus niet de enige die er gevaar in ziet.

Hier nog een bevinding: als men de file doet verwijderen (b.v. met Kaspersky), komt deze file weer terug na eenmaal volledig starten van Windows; wel in een andere random subdir onder aquawin32. Na een 2e scan wordt de file weer als verdacht gezien maar na het wederom verwijderen wordt bij een derde scan de file niet meer als verdacht aangemerkt door Kaspersky.

Ik vind dit zeer mysterieus gedrag voor een antiviruspakket waarbij alle privacy opties ook nog eens zijn ingesteld.
05-08-2012, 20:25 door [Account Verwijderd]
[Verwijderd]
06-08-2012, 07:15 door flyingsoccer
Altijd verdachte zaken naar F-Secure versturen gewoon doen beter te vaak inlichten en laten onderzoeken dan niets doen dat is mijn ervaring.
06-08-2012, 10:45 door Fwiffo
Door Anoniem: Hier nog een bevinding: als men de file doet verwijderen (b.v. met Kaspersky), komt deze file weer terug na eenmaal volledig starten van Windows; wel in een andere random subdir onder aquawin32. Na een 2e scan wordt de file weer als verdacht gezien maar na het wederom verwijderen wordt bij een derde scan de file niet meer als verdacht aangemerkt door Kaspersky.
Conclusie: Dus of F-Secure zet het telkens terug. Of dit 'virus' is niet het enige probleem op je computer. Omdat het zo ver alleen op F-Secure systemen voorkomt (behalve die van Peter V, maar misschien draait die 64 bits of is er iets anders aan de hand), zou ik de eerste conclusie nemen. En anders kan je er toch niets aan doen, behalve F-Secure deïnstalleren en een andere virusscanner gebruiken die je wel vertrouwt.

Naar mijn indruk heeft F-Secure een hele goede rootkit scanner (Blacklight iirc), dus ik zou mijn kansen met F-Secure nemen. Verder kom ik dit 'virus' dus al lange tijd tegen en doe ik elke week wel een volledige scan met F-Secure (en soms ook met ClamAV). Dat je de derde scan niets vond kan duiden op 'mutatie' ;-D
07-08-2012, 19:50 door Anoniem
Info: Na een update van het component Aquarius van 06-08-2012 en de recentste definities van Kaspersky wordt deze file niet meer als threat gezien...
08-08-2012, 14:46 door Fwiffo
Door Anoniem: Info: Na een update van het component Aquarius van 06-08-2012 en de recentste definities van Kaspersky wordt deze file niet meer als threat gezien...
Bij mij vandaag een update en volledige scan gedaan met F-Secure. cevakrnl.rv0 nog dezelfde als in mijn bericht van Zondag 12:47 (zelfde SHA256 hash). De datum is 2 Augustus.

Op de link die ik Zondag gaf staat Kaspersky ook niet meer, dus ik denk dat ze tot inkeer zijn gekomen. Nu ClamAV nog ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.