Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Avast Bestandsreputatiewaarschuwing

19-02-2015, 15:42 door Anoniem, 17 reacties
Het bestand dat u momenteel downloadt,is erg nieuw of zeer zeldzaam.

Maar heel weinig mensen in de wereldwijde gemeenschap van Avast gebruikers zijn dit bestand ooit tegengekomen,wat het mogelijk verdacht maakt.

bestand: mpas-fe_bddf768826bd2dd310ee2d503af415ed20b02fb5.exe

Herkomst: http://ic.5c6c2f59.120072.1.msftsrvcs.vo.llnwi.net/d/msdownload/update/software/defu/2015/02/mpas-
fe_bddf768826bd2dd310ee2d503af415ed20b02fb5.exe

Digitale handtekening: Niet aanwezig

Ondertekend door:

Gedownload door: C:\windows\system32\svhost.exe

De melding van avast kwam te voorschijn nadat onderstaande definition van microsoft werd gedownload van de interne
windows update functie.


Definition Update for Windows Defender - KB915597 (Definition 1.193.217.0)

Downloadgrootte: 24.5 MB
Reacties (17)
19-02-2015, 16:22 door Anoniem
Scan nog met een andere virusscanner eventueel malwarebytes of die van kaspery.

Je kan het bestand ook uploaden naar:

https://www.virustotal.com/nl/
19-02-2015, 17:01 door Anoniem
Ik krijg soms hetzelfde bericht maar het valt me op dat het samenvalt met een update van Firefox Beta.
Dit gebeurt niet elke keer bij een update van Firefox Beta
Ik klik meestal blokkeren aan als ik snel genoeg ben. Het gericht is maar kort zichtbaar.
Graag jullie reacties.
19-02-2015, 17:01 door choi - Bijgewerkt: 19-02-2015, 17:15
Door Anoniem: Scan nog met een andere virusscanner eventueel malwarebytes of die van kaspery.

Hij/zij draait al twee AV-paketten naast elkaar, die gaan elkaars updates scannen en dat heb je dit soort ongein...

@TS
url: http://ic.8ddf3358.120072.1.msftsrvcs.vo.llnwi.net/d/msdownload/update/software/defu/2015/02/mpas-fe_bddf768826bd2dd310ee2d503af415ed20b02fb5.exe
IP: 95.140.229.208
ASN: AS22822 Limelight Networks, Inc.
Location: United Kingdom
Report completed 2015-02-19 17:05:23 CET
Bron: http://urlquery.net/report.php?id=1424361924263

Limelight Networks was founded in 2001 in Tempe, Arizona as a provider of content delivery network services.....In August 2007, the company announced a technology and services agreement with Microsoft under which Limelight will help improve the performance, scalability, and reliability of Internet delivery of media content and online services, including video, music, games, software, and social media, across Microsoft's global Internet properties.
Bron: http://en.wikipedia.org/wiki/Limelight_Networks.
19-02-2015, 17:27 door Spiff has left the building
Door choi, 17:01 uur:
Hij/zij draait al twee AV-paketten naast elkaar, die gaan elkaars updates scannen en dat heb je dit soort ongein...

TS heeft niet aangegeven of Windows Defender onder Vista of Windows 7 werd bedoeld (een beperkte malware scanner), of dat Windows Defender onder Windows 8.x werd bedoeld (een volledig antivirus-programma).
Het verschil is nogal relevant.

Windows Defender onder Vista of Windows 7 zit sommige antivirus-programma's niet dwars en andere wel.
Ik weet niet wat er geldt voor de combinatie van Avast met Windows Defender onder Vista of Windows 7.
Antivirus-programma's die incompatible zijn met Windows Defender onder Vista of Windows 7 horen Windows Defender uit te schakelen (en de gebruiker moet dan Windows Defender uiteraard niet zelf weer gaan inschakelen). Ik mag hopen dat Avast dat ook doet, als dat geldt voor Avast.

Windows Defender onder Windows 8.x dient in ieder geval niet samen met een ander antivirus-programma te worden gebruikt. Antivirus-programma's die worden geïnstalleerd op Windows 8.x horen Windows Defender uit te schakelen. Ik mag hopen dat Avast dat ook doet. (En ook hier geldt, de gebruiker moet dan Windows Defender uiteraard niet zelf weer gaan inschakelen.)
19-02-2015, 18:13 door Anoniem
De bestands-reputatie-waarschuwing-meldingen van avast free 2015,zijn nu 4 dagen zichtbaar,
op zowel win7 ultimate x86nl als op een win7 prof 64bit systeem.

Hiervoor zijn er nooit meldingen of problemen met avast i.c.m windows defender in win7 geweest.
In de update geschiedenis van windows update,zijn er velen updates geinstalleerd voor windows defender,zonder
dat avast daar meldingen van maakten,het gaat specifiek om onderstaande definition update,waar een waarschuwing voor kwam.

Definition Update for Windows Defender - KB915597 (Definition 1.193.217.0)
19-02-2015, 18:31 door choi - Bijgewerkt: 19-02-2015, 18:34
Door Spiff:
Door choi, 17:01 uur:
Hij/zij draait al twee AV-paketten naast elkaar, die gaan elkaars updates scannen en dat heb je dit soort ongein...

TS heeft niet aangegeven of Windows Defender onder Vista of Windows 7 werd bedoeld (een beperkte malware scanner), of dat Windows Defender onder Windows 8.x werd bedoeld (een volledig antivirus-programma).
Het verschil is nogal relevant.


Wel...WD onder Vista is 'beperkt' in die zin dat het voornamelijk op spyware scant. Beperkt of niet, WD en Avast zijn beide signature-scanners die on-access bestanden scannen en, indien naast elkaar gebruikt, wel eens op elkaars virus-definities, processen e.d kunnen reageren. Het is op z'n minst zonde van de CPU-capaciteit.

Dat gezegd hebbende, het bestand van TS is ge-flagged door de reputatiescanner niet op basis van een signature of de heuristics. Het betreffende bestand komt dus niet op de white-list van vertrouwde software voor, reden waarom Avast de beslissing om het bestand al of niet uit te voeren bij de gebruiker legt.

Voor zover ik het kan inschatten is het een legitieme update afkomstig van een content-distributie partner van MS.
19-02-2015, 22:13 door choi
Door Anoniem: De bestands-reputatie-waarschuwing-meldingen van avast free 2015,zijn nu 4 dagen zichtbaar,
op zowel win7 ultimate x86nl als op een win7 prof 64bit systeem.

Hiervoor zijn er nooit meldingen of problemen met avast i.c.m windows defender in win7 geweest.
In de update geschiedenis van windows update,zijn er velen updates geinstalleerd voor windows defender,zonder
dat avast daar meldingen van maakten,het gaat specifiek om onderstaande definition update,waar een waarschuwing voor kwam.

Definition Update for Windows Defender - KB915597 (Definition 1.193.217.0)

Ik snap dat je je ongerust maakt maar ik heb de indruk dat je per se de overtuiging dat het om kwaadaardige software gaat bevestigd wilt zien. Maar weet jij hoe het reputatiesysteem van Avast werkt-d.w.z op basis van welke criteria bestanden worden beoordeeld? Ik in ieder geval niet. Ik kan de betrouwbaarheid van dat systeem dus niet beoordelen. Het beste is om Avast (per e-mail als je een betalende klant bent of via hun forum als je de gratis versie gebruikt) te benaderen en hun om opheldering te vragen.

Gebaseerd op de afkomst van het bestand lijkt het allemaal ok maar er bestaat een theoretische mogelijkheid dat het bestand onderweg naar jou is onderschept en is aangepast. Je kan het bestand door een online analysesysteem laten halen om te beoordelen of er malafide handelingen worden uitgevoerd-er vanuitgaande dat je de uitslag kan interpreteren.
19-02-2015, 23:01 door Anoniem
Hoi Choi,

Definition Update for Windows Defender - KB915597 (Definition 1.193.217.0)

is geinstalleerd en ik heb het niet laten blokkeren door avast,want de vraag was er wel om het te laten blokkeren.

Het is een update,als je weet waar deze update lokaal op de schijf word opgeslagen let me now,:)
dan kan ik het alsnog via een online analysesysteem laten controleren.
20-02-2015, 00:21 door Erik van Straten
Het IP-adres van "ic.5c6c2f59.120072.1.msftsrvcs.vo.llnwi.net" hangt af van de DNS server waar je het aan vraagt. Ik heb het bestand gedownload van af 87.248.203.37.

Het bestand dat ik gedownload heb, is wel degelijk digitaal ondertekend. En, heel interessant, op een manier die ik nog niet eerder gezien heb: er zijn 2 digitale handtekeningen aanwezig. Een daarvan is gebaseerd op SHA1, de andere op SHA256.

De signer is Microsoft. Aanvullende info uit de file:
CompanyName: Microsoft Corporation
FileDescription: AntiMalware Definition Update
InternalName: mpas-fe.exe
LegalCopyright: Microsoft Corporation. All rights reserved.
OriginalFilename: mpas-fe.exe
ProductName: Microsoft Malware Protection
FileVersion: 1.193.217.0
ProductVersion: 1.193.217.0
EngineVersion: 1.1.11400.0

De SHA1 hash van het bestand (zoals gedownload) is: bddf768826bd2dd310ee2d503af415ed20b02fb5
En die hash komt terug in de bestandsnaam: mpas-fe_bddf768826bd2dd310ee2d503af415ed20b02fb5.exe
(dat doet Microsoft vermoedelijk om te zorgen dat er geen conflicten zijn als meer dan 1 versie van dat bestand in dezelfde map geschreven wordt).

Iemand heeft dit bestand eerder vandaag geüpload naar VT, zie https://www.virustotal.com/en/file/870b2172d25170150fb04bc99600d964f0ed04b62f934ed60b2fa588d541b4e2/analysis/. In de "File detail" tab is alleen de SHA1-gebaseerde digitale handtekening te zien (genoemde SHA1 hash vind je terug in het tabblad "Additional information").

Vermoedelijk maakt Avast gebruik van een cloud-based systeem. Als jij toevallig een van de eersten bent die zo'n bestand downloadt en de hash ervan naar Avast stuurt (in combinatie met het feit dat het om een exe bestand gaat, en Avast de dubbele digitale handtekening wellicht niet snapt en daardoor denkt dat het bestand geheel niet ondertekend is), is dat kennelijk de reden om de waarschuwing te tonen die jij zag.

@Spiff: heb jij het bestand toevallig ook gedownload? Zo ja, wat zie jij aan digitale handtekeningen onder Vista?
20-02-2015, 00:50 door choi
Door Erik van Straten: Het IP-adres van "ic.5c6c2f59.120072.1.msftsrvcs.vo.llnwi.net" hangt af van de DNS server waar je het aan vraagt. Ik heb het bestand gedownload van af 87.248.203.37.


Dat klopt, dat heeft natuurlijk met de load-balancing van de content-distribution partij te maken.
20-02-2015, 01:13 door choi - Bijgewerkt: 20-02-2015, 01:29
Door Anoniem: Hoi Choi,

Definition Update for Windows Defender - KB915597 (Definition 1.193.217.0)

is geinstalleerd en ik heb het niet laten blokkeren door avast,want de vraag was er wel om het te laten blokkeren.

Het is een update,als je weet waar deze update lokaal op de schijf word opgeslagen let me now,:)
dan kan ik het alsnog via een online analysesysteem laten controleren.

Je kan de url in de adresbalk plakken en het updatebestand naar een locatie van je keuze downloaden*. Hier de VirusTotal analyse (helaas is het bestand te groot voor de meeste andere online behavioural scanners):
https://www.virustotal.com/en/file/870b2172d25170150fb04bc99600d964f0ed04b62f934ed60b2fa588d541b4e2/analysis/

*
http://ic.5c6c2f59.120072.1.msftsrvcs.vo.llnwi.net/d/msdownload/update/software/defu/2015/02/mpas-
fe_bddf768826bd2dd310ee2d503af415ed20b02fb5.exe

/edit
Ik zie dat de url naar de VT analyse al eerder is geplaatst, maar goed, ik laat hem staan....
20-02-2015, 03:26 door Anoniem
Hoi Chio,

Alvast hartelijk dank hiervoor,er schijnen toch twee digitale handtekeningen te zijn voor
het bestand,dus toch digitaal ondertekend,nou prima,dus niets aan de hand uiteindelijk.

groeten en bedankt aan iedereen die heeft meegeholpen dit uit te zoeken.

Lester
20-02-2015, 12:16 door Spiff has left the building
Door Erik van Straten, 00:21 uur:
@Spiff:
heb jij het bestand toevallig ook gedownload?
Zo ja, wat zie jij aan digitale handtekeningen onder Vista?
Dat had ik niet, maar voor de gelegenheid heb ik dat nu even gedaan.
Ik zie voor dat bestand enkel een digitale handtekening gebaseerd op SHA1.
Zoals wellicht te verwachten was, gezien https://www.security.nl/posting/386805/
20-02-2015, 13:01 door Erik van Straten
20-02-2015, 12:16 door Spiff:
Door Erik van Straten, 00:21 uur:
@Spiff:
heb jij het bestand toevallig ook gedownload?
Zo ja, wat zie jij aan digitale handtekeningen onder Vista?
Dat had ik niet, maar voor de gelegenheid heb ik dat nu even gedaan.
Ik zie voor dat bestand enkel een digitale handtekening gebaseerd op SHA1.
Zoals wellicht te verwachten was, gezien https://www.security.nl/posting/386805/
Dank voor het testen! Goed te lezen dat Vista in elk geval wel de SHA1-gebaseerde handtekening toont, kennelijk heeft Microsoft een tussenoplossing gevonden met deze dubbele handtekening.
22-02-2015, 18:24 door Anoniem
OS win 8.1
browser firefox 36 BETA

De update van vandaag 22-2-2015 gaf weer de genoemde melding
Dit keer op toegestaan geklikt
Is er iemand die een verklaring heeft?
22-02-2015, 18:41 door Anoniem
Als er weer staat: "Digitale handtekening: Niet aanwezig" dan lijkt het mij dat AVAST een update moet doen om die dubbele handtekening (zowel SHA1 als SHA256: zie bericht 20-02-2015, 00:21 door Erik van Straten) voortaan goed te kunnen interpreteren.
22-02-2015, 22:50 door Erik van Straten
22-02-2015, 18:24 door Anoniem: OS win 8.1
browser firefox 36 BETA

De update van vandaag 22-2-2015 gaf weer de genoemde melding
Dit keer op toegestaan geklikt
Is er iemand die een verklaring heeft?
Als Avast onder Windows 8.1 meldt dat de digitale handtekening ontbreekt, zijn 2 verklaringen denkbaar:
1) Het bestand is beschadigd (opzettelijk of onopzettelijk);
2) De digitale handtekening (-en) klopt wel, maar Avast kan er niet mee overweg.

Om uitsluitsel te krijgen kun je het bestand uploaden naar https://www.virustotal.com/; als in de "File detail" tab een digitale handtekening aanwezig is, ligt het aan Avast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.