Computerbeveiliging - Hoe je bad guys buiten de deur houdt

AV False positives

10-03-2016, 22:24 door Anoniem, 1 reacties
Heb jij wel eens 'last' van false positives met je AV scanner?
Hoe los je dat op?
Ga je het uitzoeken?
Benader je je AV leverancier?

Dat laatste kan de moeite waard zijn!
Zeker als de definitie database wordt onderhouden door een community en producten die daaruit voortvloeien (meer) kwaliteit kunnen gebruiken.

Bijvoorbeeld, false positive door ClamAv based scanner : Html.Exploit.CVE_2016_0108

Begin inhoud file
/*! normalize.css v2.1.1 | MIT License | git.io/normalize */article,aside,details,figcaption,figure,footer,header,hgroup,main,nav,section,summary{display:block}audio,canvas,video{display:inline-block}audio:not([controls]).......

Gaf 1 resultaat op Virustotal.
https://www.virustotal.com/en/file/a206f5b7f2bc96e0a7dc06b5611d3c7ea04f88ce6ff910be87d626baf4ce47c1/analysis/1457635855/
Hebben al die andere AV's hem gemist of is het een false positive, dat is de vraag.
Het kan best dat die ene voorloopt op de rest.
Zou kunnen.

Een zoektochtje op het net gaf vele resultaten met discussie erover die leidden tot het vermoeden dat het om een false positive ging ook al was er een referentie naar een kwetsbaarheid voor IE.
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0108

Met de definities van de ClamAv database van vanmorgenvroeg gaf dit 'css file' dat op een bekende nieuwswebsite aanwezig was vandaag dus een melding van de ClamAv scanner.
Vroeg in de avond was er een nieuwe update waar de false positive alweer was uitgehaald!
Vermoedelijk door response vanuit gebruikers : Geen bliep van de scanner meer op hetzelfde file.

Dit is een AV response die wat mij betreft erg accuraat is!

Mocht je gebruik maken met een scanner gebaseerd op de ClamAv definitie database en je een false positive krijgen.
Check het op VT en nog een beetje elders en maak er melding van bij ClamAv.
http://www.clamav.net/reports/fp

Dat loont!
Reacties (1)
11-03-2016, 16:00 door Anoniem
Ik heb mijn antivirus het op één na maximale gevoeligheids level gezet, maar krijg niet vaak false positives. Ik download dan ook niet zo vaak executables. Maar soms krijg ik wel een melding als:

svchost.exe probeert een heel nieuw of onbekend programma te downloaden. Als dit een schadelijk bestand is kan het niet worden gedetecteerd omdat het niet in de databases voorkomt. Wat wilt u doen? Verbinding verbreken | doorgaan

Ik klikte de eerste keer op verbreken, en na beetje googlen checkte ik Windows update, en bij geschiedenis stond dat een update van die tijd mislukt was, dus klik ik tegenwoordig vrijwel altijd op doorgaan.

Verder nog niet veel false positieves gehad. Ik upload gedownloade exes bij twijfel naar virustotal, waarbij er soms 1 tot 3 virusscanners alarm slaan, maar deze klassificeren dan ook vaak als "PUP" (potential unwanted program) dus dit is dan waarschijnlijk ook een false positive.

Torrents (ja, illegale software downloads) check ik vaak in VirtualBox eventjes van te voren. Maar mijn paranoia is zo groot dat ik niet vaak software torrent :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.