Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
False positive google chrome ?
19-01-2015, 14:09 door [Account Verwijderd], 7 reacties
Deze in mijn mailbox vanmorgen (We gebruiken Barracuda webfilter)
Van: spyware-notify-bounces@barracuda.barracudanetworks.com [mailto:spyware-notify-bounces@barracuda.barracudanetworks.com]
Verzonden: maandag 19 januari 2015 9:37
Aan: Administrator
Onderwerp: Barracuda Web Filter HTTP Traffic Warning
This email is from the Barracuda Web Filter. We have detected and blocked the download of: VIRUS Win.Worm.Chir-1456
from the server:www.google.com
with the URL:http://www.google.com/dl/chrome/components/recovery/recovery/win/101.3.21.141/install.crx
This download was attempted by:
x.x.x.x
Mail gestuurd naar Google, maar misschien heeft iemand een idee?
Van: spyware-notify-bounces@barracuda.barracudanetworks.com [mailto:spyware-notify-bounces@barracuda.barracudanetworks.com]
Verzonden: maandag 19 januari 2015 9:37
Aan: Administrator
Onderwerp: Barracuda Web Filter HTTP Traffic Warning
This email is from the Barracuda Web Filter. We have detected and blocked the download of: VIRUS Win.Worm.Chir-1456
from the server:www.google.com
with the URL:http://www.google.com/dl/chrome/components/recovery/recovery/win/101.3.21.141/install.crx
This download was attempted by:
x.x.x.x
Mail gestuurd naar Google, maar misschien heeft iemand een idee?
Reacties (7)
https://www.virustotal.com/nl/url/ef794bb76ecd5070007cf8fc8c7b872ff03ea64ff6905637c28c7a967a6aae11/analysis/
Virustotal heeft in ieder geval detectieverhouding 0/61. Ik geloof echter niet dat dit een download van google chrome is, maar van een google chrome extensie. Misschien blokkeert Barracuda die automatisch?
Zoeken op Win.Worm.Chir doet mij denken dat Win.Worm.Chir-XXX een aanduiding is die door clamav gebruikt wordt, en barracuda gebruikt inderdaad clamav als antivirus engine.
Dit lijkt mij dus een goed punt om verder te gaan:
http://www.clamav.net/report/report-fp.html
Virustotal heeft in ieder geval detectieverhouding 0/61. Ik geloof echter niet dat dit een download van google chrome is, maar van een google chrome extensie. Misschien blokkeert Barracuda die automatisch?
Zoeken op Win.Worm.Chir doet mij denken dat Win.Worm.Chir-XXX een aanduiding is die door clamav gebruikt wordt, en barracuda gebruikt inderdaad clamav als antivirus engine.
Dit lijkt mij dus een goed punt om verder te gaan:
http://www.clamav.net/report/report-fp.html
Door NedFox:
Mail gestuurd naar Google,
Mail gestuurd naar Google,
Waar heb je dan naar gemailed info @ google .com ? ;)
Wat betreft support vragen bij google diensten zie ik nergerns bijbehorende email adressen.
In uiterste gevallen nogal noodzakelijk want soms zit je hulpvraag niet tussen de automatische standaard oplossingen.
Het .crx pakketje bevat ChromeRecovery.exe, GoogleUpdateSetup.exe en een JSON bestand bevattende:
Individuele scans van de executable's op VirusTotal levert geen hits. Resulaat gedragsanalyse op Wepawet: Benign
Dit lijkt me een false positive van een legitiem onderdeel van de Chrome browser.
"name": "ChromeRecovery",
"version": "101.3.21.141",
"description": "Emergency utility for restoring critical functionality.",
"x-recovery-os": "win",
"x-recovery-arch" : "ia32",
"x-recovery-rev": "97019"
"version": "101.3.21.141",
"description": "Emergency utility for restoring critical functionality.",
"x-recovery-os": "win",
"x-recovery-arch" : "ia32",
"x-recovery-rev": "97019"
Individuele scans van de executable's op VirusTotal levert geen hits. Resulaat gedragsanalyse op Wepawet: Benign
Dit lijkt me een false positive van een legitiem onderdeel van de Chrome browser.
Abuse@google.com :) Ik heb idd ook een tijdje gezocht en dacht dat die de beste response zou geven :)
Ik heb de link uiteindelijk op een systeem gedownload en gescanned; geen enkele waarschuwing dus ik denk dat het uiteindelijk toch een false positive was.
Ik twijfel of het een plugin is; sommige van de mails (ik heb er inmiddels 14) komen van dichtgespijkerde RDS servers met een mandatory profile die geen plugins toelaten, maar vanwege de melding ben ik toch gaan testen in hoeverre gebruikers toch eea kunnen doen :)
@Choi, dank !! gepost voordat ik je reactie las en tot dezelfde conclusie gekomen.
Ik heb de link uiteindelijk op een systeem gedownload en gescanned; geen enkele waarschuwing dus ik denk dat het uiteindelijk toch een false positive was.
Ik twijfel of het een plugin is; sommige van de mails (ik heb er inmiddels 14) komen van dichtgespijkerde RDS servers met een mandatory profile die geen plugins toelaten, maar vanwege de melding ben ik toch gaan testen in hoeverre gebruikers toch eea kunnen doen :)
@Choi, dank !! gepost voordat ik je reactie las en tot dezelfde conclusie gekomen.
19-01-2015, 14:09 door NedFox: Deze in mijn mailbox vanmorgen (We gebruiken Barracuda webfilter)
Van: spyware-notify-bounces@barracuda.barracudanetworks.com [mailto:spyware-notify-bounces@barracuda.barracudanetworks.com]
Verzonden: maandag 19 januari 2015 9:37
Aan: Administrator
Onderwerp: Barracuda Web Filter HTTP Traffic Warning
This email is from the Barracuda Web Filter. We have detected and blocked the download of: VIRUS Win.Worm.Chir-1456
from the server:www.google.com
with the URL:http://www.google.com/dl/chrome/components/recovery/recovery/win/101.3.21.141/install.crx
Download vanaf http://www.google.com biedt geen garantie dat de file "install.crx" daarwerkelijk vanaf een google.com server gedownload is (en indien dat wel het geval is, dat de file "onderweg" niet is gemanipuleerd).Van: spyware-notify-bounces@barracuda.barracudanetworks.com [mailto:spyware-notify-bounces@barracuda.barracudanetworks.com]
Verzonden: maandag 19 januari 2015 9:37
Aan: Administrator
Onderwerp: Barracuda Web Filter HTTP Traffic Warning
This email is from the Barracuda Web Filter. We have detected and blocked the download of: VIRUS Win.Worm.Chir-1456
from the server:www.google.com
with the URL:http://www.google.com/dl/chrome/components/recovery/recovery/win/101.3.21.141/install.crx
Opvallend is ook dat slechts een van de twee exe files in "install.crx" van een digitale handtekening is voorzien (met SHA1 hash, volgens Google zelf niet betrouwbaar).
OMG, Erik, dat was me nog niet eens opgevallen.
Nu kan ik idd de weblog nalopen en kijken wat de gebruiker aan het doen was (ja sorry, geen privacy op onze school ....) :)
Nu kan ik idd de weblog nalopen en kijken wat de gebruiker aan het doen was (ja sorry, geen privacy op onze school ....) :)
19-01-2015, 17:22 door
choi
Inmiddels wordt ChromeRecovery.exe op VT door ClamAV ge-flagged. Misschien een goed idee om wat open-source karma te verdienen door een false positive rapport in te dienen bij ClamAV.*
*
About posting false positives:
If you do encounter a false positive.........submit both the file and the virustotal report to ClamAV false positive submission here: http://www.clamav.net/report/report-fp.html Note: It may take sometime for ClamAV to release a patch for false positive submissions.
*
About posting false positives:
If you do encounter a false positive.........submit both the file and the virustotal report to ClamAV false positive submission here: http://www.clamav.net/report/report-fp.html Note: It may take sometime for ClamAV to release a patch for false positive submissions.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
