Security Professionals
- ipfw add deny all from eindgebruikers to any
Avast Free 2015 blokkeerd windowsupdate !!
25-06-2015, 08:15 door Anoniem, 10 reacties
Avast blokkeerd een infectie
http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe
Infectie:Win32:Evo-gen [susp]
C:\Windows\system32\svchost.exe
Is dit fals positive?
http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe
Infectie:Win32:Evo-gen [susp]
C:\Windows\system32\svchost.exe
Is dit fals positive?
Reacties (10)
Windows defender update.
googlen op mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09 leverde meer meldingen van false positives op, o.a. door Comodo.
Lijkt me een false positive. maar Ik sluit niks uit ;-)
Welke Windows-versie draai je?
googlen op mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09 leverde meer meldingen van false positives op, o.a. door Comodo.
Lijkt me een false positive. maar Ik sluit niks uit ;-)
Welke Windows-versie draai je?
Door Anoniem:
Is dit fals positive?
Is dit fals positive?
Ik zou het gewoon op het forum van Avast proberen: https://forum.avast.com/
Meer dan mogelijk is dit bestand ongevaarlijk, dus een vals positieve detectie.
Zie: https://www.virustotal.com/en-gb/url/22dbdbfee140df7ff6f318b55569a4fadb8a593d6ecf731622cc7ebbf6a7416e/analysis/
en https://www.virustotal.com/en-gb/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/1435164477/
Sommige IDS alarmeren zoals Suricata: ET POLICY PE EXE or DLL Windows file download
polonus
Zie: https://www.virustotal.com/en-gb/url/22dbdbfee140df7ff6f318b55569a4fadb8a593d6ecf731622cc7ebbf6a7416e/analysis/
en https://www.virustotal.com/en-gb/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/1435164477/
Sommige IDS alarmeren zoals Suricata: ET POLICY PE EXE or DLL Windows file download
polonus
25-06-2015, 10:55 door
Vandy
stam+t, dus blokkeert.
[/ergernis]
[/ergernis]
25-06-2015, 11:26 door
FB
Door Vandy: stam+t, dus blokkeert.
[/ergernis]
[/ergernis]
Door Anoniem:
Is dit fals positive?
Is dit fals positive?
als je dan toch gaat klagen..
Door Anoniem: Avast blokkeerd een infectie
http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe
Infectie:Win32:Evo-gen [susp]
C:\Windows\system32\svchost.exe
Is dit fals positive?
Je bent niet duidelijk waar Avast nou precies malware in detecteerde: die download, svchost.exe of beide?http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe
Infectie:Win32:Evo-gen [susp]
C:\Windows\system32\svchost.exe
Is dit fals positive?
Als ik http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe download, dan is daar volgens https://www.virustotal.com/en/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/1435164477/ niets mis mee (ook niet als je op "View latest" klikt, of de VirusTotal URL inkort tot https://www.virustotal.com/en/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/).
Dat bestand bevat, uitgepakt, o.a. de bestanden mpasbase.vdm._p en mpengine.dll._p. Dat zijn zwaar gecomprimeerde patch-bestanden waarmee bestaande bestanden worden gewijzigd. Het is denkbaar, maar nogal onlogisch, dat een antimalware-update het bestand svchost.exe zou wijzigen. En in het bestand dat ik gedownload heb zie ik daar geen aanwijzingen voor.
Echter, de download vindt plaats via http. Een "MitM" (Man-in-the-Middle) kan jou een ander bestand laten downloaden dan jij denkt. Als het de aanvaller is gelukt om de DNS instellingen van jouw modem aan te passen, kan hij jouw webbrowser naar een ander IP-adres sturen dan het echte IP-adres van au.download.windowsupdate.com. Daarmee kan de aanvaller jou een bestand naar keuze laten downloaden. Als de aanvaller directe toegang heeft tot de netwerkverbinding tussen jouw PC en het IP-adres van de echte au.download.windowsupdate.com, kan hij ook "on-the-fly" een gedownload bestand wijzigen of door iets heel anders vervangen.
Aan de andere kant, tenzij de aanvaller een geheime sleutel van Microsoft heeft weten te bemachtigen en/of toegang heeft (gehad) tot een Micrsoft server gebruikt voor het digitaal ondertekenen van bestanden (beide een kleine kans maar niet ondenkbaar), kan de aanvaller geen digitale Microsoft handtekening onder het bestand hebben gezet.
(Een digitale handtekening toont aan wie een bestand heeft ondertekend, en dat het bestand sindsdien niet meer is gewijzigd).
Veel aanvallers beschikken wel over geheime sleutels van enkele andere bedrijven, en kunnen daarmee kunnen ze namens zo'n ander bedrijf een bestand digitaal ondertekenen. Ik weet niet of Windows Update (en in dit specifieke geval, een "Antimalware Definition Update"), vereist dat deze met een Microsoft sleutel (en bijbehorend certificaat) is gesigneerd.
Ik zou jouw melding zeker niet zomaar afdoen als een false positive, en je systeem met een aantal andere virusscanners scannen. Succes!
Edit: ik had de 2e VT URL niet ingekort, nu wel
Ik ken het phenomeen. In bijna alle gevallen is het een Avast!-kwaaltje, met als oorzaken dat Microsoft een Defender-definitie-update uitbrengt, terwijl dat nog niet is meegenomen in de laatste Avast!-update, doorgaans duurt dat nog 1 á 2 update-ronden.
Geeft wel aan dat Windows Defender toch wel heel snel & erg bij de tijd is wat betreft definitie-updates?!?!?...
Wat betreft de onderwerptitel: Misschien een type, gewoon de laatste e vergeten... Alhoewel er over een soortgelijke spelfout door een sponsor van Ajax (of NE) alle journaals heeft gehaald... ;-)
Ilja. _\\//
Geeft wel aan dat Windows Defender toch wel heel snel & erg bij de tijd is wat betreft definitie-updates?!?!?...
Wat betreft de onderwerptitel: Misschien een type, gewoon de laatste e vergeten... Alhoewel er over een soortgelijke spelfout door een sponsor van Ajax (of NE) alle journaals heeft gehaald... ;-)
Ilja. _\\//
Door Anoniem:
Wat betreft de onderwerptitel: Misschien een type, gewoon de laatste e vergeten... Alhoewel er over een soortgelijke spelfout door een sponsor van Ajax (of NE) alle journaals heeft gehaald... ;-)
Ilja. _\\//
Wat betreft de onderwerptitel: Misschien een type, gewoon de laatste e vergeten... Alhoewel er over een soortgelijke spelfout door een sponsor van Ajax (of NE) alle journaals heeft gehaald... ;-)
Ilja. _\\//
En je dacht: kom, ik vervang de o van typo door de vergeten e van blokkeerde...hehe
28-06-2015, 02:52 door
Ilja. _V V
Door choi:En je dacht: kom, ik vervang de o van typo door de vergeten e van blokkeerde...hehe
Nou, nee, na 3x preview echt over het hoofd gezien, maar toch leuke intelligente interpretatie. ;-)https://www.virustotal.com/nl/url/22dbdbfee140df7ff6f318b55569a4fadb8a593d6ecf731622cc7ebbf6a7416e/analysis/1435451893/
Nog even de url gecontroleerd, met name omdat die begint met au, Australie, rest van de domein-naam klopt.
Frappant is wel dat zelfs bij VirusTotal er maar 1 uit 63 het als malware ziet, & waarbij n.b. Avast! dus niet in de lijst staat.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
