De melding van de virusscanner van Rising (op VirusTotal.com) is hoogstwaarschijnlijk een false positive; dat baseer ik op de onderstaande analyse.
Zojuist heb ik vanuit
https://www.adobe.com/solutions/ebook/digital-editions/download.html diezelfde file gedownload (download link:
https://adedownload.adobe.com/pub/adobe/digitaleditions/ADE_4.5_Installer.exe).
Ook van deze file is de SHA-256 hash: ed9e11cb1d4fe22b7fc3af94752d832504a0e9efa502a3d529176736db9bf188 (deze is identiek aan de hash in de URL van VirusTotal gepost door de TS). Daarmee weten we al zeker dat we het over hetzelfde bestand hebben.
Het bestand is digitaal ondertekend door "Adobe Systems Incorporated" met een code signing certificaat van DigiCert (het betreft een EV certificaat met SHA1 hash 166CE7E6EAE62550092713C26028831BA4F3A174). Dit is niet hetzelfde certificaat als Adobe gebruikt voor Flash (2e419ccc647f94fe0dfc5460d0740b93d3572e54), maar ook dat stamt van DigiCert, is van "Adobe Systems Incorporated" en heeft bijna dezelfde ingangs- en einddatum.
Helaas kun je nooit uitsluiten dat DigiCert een certificaat meegeeft aan iemand die zich
voordoet als medewerker van Adobe (dat is Microsoft ook al eens overkomen bij Verisign). Maar aangezien de download plaatsvindt vanaf een adobe.com site via https, lijkt de kans mij klein dat we nu met zo'n incident te maken hebben.
Bovendien, de gebruikte private key, gekoppeld aan het certificaat in de (door TS en mij) gedownloade Adobe Digital Editions, gebruikt Adobe kennelijk ook voor het digitaal ondertekenen van ShockWave (zie
https://www.malwares.com/report/file?hash=8AF58B8A610BBB3FE4E379C515225DF572B002235FB7D346C34A408CC120AA3A).
Kortom, het gaat hier zo goed als zeker dat het om een bestand gaat dat is ondertekend door Adobe. Dat garandeert niet dat er geen malware in zit. Naast dat je Adobe moet vertrouwen, is het criminelen een paar jaar geleden gelukt om malware in de sourcecode van 1 of meer Adobe producten te injecteren, waarna deze, na compileren en linken (vermoedelijk automatisch) digitaal is gesigneerd en gepubliceerd.
Op VirusTotal zie ik onder "Reacties" een melding van gebruiker "PayloadSecurity" die eigenaar is van de website Hybrid-Analysis. Ook daar is een analyse van Adobe Digital Editions te vinden:
https://www.hybrid-analysis.com/sample/ed9e11cb1d4fe22b7fc3af94752d832504a0e9efa502a3d529176736db9bf188?environmentId=100. Er zijn kenmerken die
kunnen wijzen op malware. De software lijkt verbinding te maken met liveupdate.symantecliveupdate.com en stats.norton.com. Het zou mij niet verbazen als er software van Symantec wordt meegeleverd (misschien krijg je een popup met de vraag of je ook Notron antivirus o.i.d. wilt installeren). Een soort adware dus.
Echter deze versie van Digital Editions is al op 7 augustus digitaal ondertekend, en het certificaat is nog niet ingetrokken. Bovendien is dit bestand al meerdere malen aangeboden op VirusTotal.com (te zien aan de verschillende bestandsnamen onder het tabblad "Aanvullende Informatie"). Als er echt sprake zou zijn van banking malware, zou het wel heel vreemd zijn als er nog niemand bij Adobe aan de bel getrokken had.
Kortom, een false positive van Rising vermoed ik. Hoogstwaarschijnlijk geen banking malware, mogelijk wel adware (Adobe moet ook ergens geld aan verdienen).