Winzip überrascht mich immer wieder. Und Antivir leider auch.
Neulich habe ich mich ein wenig geärgert, dass Winzip 10.0 scheinbar kein BZIP2 beherrscht, das von Linux aufgrund der hohen Kompressionsrate gerne verwendet wird. Heute habe ich gemerkt, dass meine Annahme falsch war und Winzip sehr wohl BZIP2 kann, allerdings muss die Dateiendung weiterhin .ZIP lauten.
Ich habe dann ein wenig mit dem EICAR-Testvirus rumgespielt und ihn einmal mit Winzip normal komprimiert (eicar1.zip) und einmal mit Winzip BZIP2 komprimiert (eicar2.zip). Interessanterweise erkennt Antivir (8.01.01.21, V7.00.06.154) den Testvirus nur in einem normal komprimierten ZIP-File, nicht jedoch in einem BZIP2-komprimierten ZIP-File.
Ich werde demnächst mal eine Sammlung von Viren mit verschiedenen Packern zusammenstellen, langsam macht mir das Thema nämlich ein wenig Sorgen.
Nachtrag:
Ich wollte die Datei eigentlich auch an Avira schicken aber die nehmen Anfragen anscheinend nur von zahlenden Kunden entgegen und ich habe hier nur eine private Antivir Personal Version am laufen. Jedenfalls habe ich auf der Webseite keine Kontaktmöglichkeit ohne Eingabe einer Seriennummer gefunden. Fehlermeldungen durch Privatanwender sind wohl nicht vorgesehen.
Erinnert mich an why anti viruses don’t work.
Comment by Thomas Penteker — 16. September 2008 @ 11:08
Stimmt. Aber es hinterläßt beim IT-Leiter anscheinend doch ein wohliges Gefühl, wenn man Antivirus hat. Und es ist ja nur zu 90% Snake Oil, nach dem Auspacken merkt sogar Antivir, daß da was vermutlich nicht stimmt.
Comment by Christian — 16. September 2008 @ 11:31
unser Sophos in der Mimesweeperumgebeung, erkennt den Virus
Comment by ich — 17. September 2008 @ 07:14
Ich habe hier leider kein Sophos zum Testen, ich würde aber wetten mit ein wenig Knobeln findet man Parameter bei denen Sophos den Eicar im Archiv auch nicht erkennt.
Comment by Christian — 17. September 2008 @ 09:02
Na dann mal Virustotal zur Ehrenrettung von Avira…
Deine eicar1.zip auf VirusTotal
Deine eicar2.zip auf VirusTotal
Obwohl man das
ja auch nicht machen soll:
http://blog.hispasec.com/virustotal/22
Comment by seppl — 18. September 2008 @ 14:29
Deine eicar1.zip auf VirusTotal
isch werd‘ nochma bleede mit diesem HTML-Quelltext
Comment by seppl — 18. September 2008 @ 14:33
Danke Seppl, gute Idee 🙂
Klar, Virustotal ist nicht dafür gemacht, Virenscanner zu vergleichen aber ab und zu sind die Ergebnisse trotzdem interessant. Beispiele die mir so auffallen:
1. Die meisten Virenscanner ignorieren Dateien die sie nicht entpacken können. Siehe auch den Link von Dir auf eicar2.zip. Lediglich NOD32 ist ehrlich genug, die Fehlermeldung „error – unknown compression method“ auszugeben. Das ist manchmal blöd, weil bei der Endung .ZIP würde man naiverweise erwarten, daß jeder Virenscanner das entkomprimieren kann.
2. Einige Virenscanner melden pauschal jede Datei die mit Elitewrap verpackt ist als Virus (Trojan Dropper). Egal was drin ist. Viele machen sich nicht mal die Mühe auszupacken was es sein könnte sondern mecken lediglich den Elitewrap-Header an.
3. Mit Packern sieht es oft nicht besser aus. Netbus wird normalerweise von 35/36b erkannt, sobald ich das in UPX einpacke bin ich runter auf 23/36. Mit anderen Packern ist das Ergebnis ganz ähnlich.
Ich will bei diesen Ergebnissen gar nicht herausstellen, daß dieser oder jener Virenscanner besser oder schlechter ist. Bezeichnend ist lediglich, daß kaum ein Virenscanner mögliche Schwächen (z.B. unbekannte Kompression) zugibt und vermutlich aus Performancegründen die eine oder andere gepackte Datei gar nicht erst ausgepackt wird. Und das sollte man halt im Hinterkopf behalten wenn man sich von einem Virenscanner beschützen lassen will.
Comment by Christian — 20. September 2008 @ 19:27
Hallo
unter: http://analysis.avira.com/samples/index.php
kannst du Dateien hochladen ohne eine Seriennummer anzugeben. Falls du doch eine Seriennummer brauchst: auch die kostenlose Variante hat eine Seriennummer, findest du unter Hilfe->über_Antivir
Comment by yussuf — 22. September 2008 @ 01:22
Den Link kenne ich. Das Problem das ich dabei habe ist, daß man entweder nur eine verdächtige Datei (ohne Kommentar) hochladen kann oder einen Fehlalarm (mit Kommentar) melden kann. Ich möchte aber beim Hochladen gernen einen Kommentar dazuschreiben und hätte gerne ne Antwort, ob Antivir das als vernachlässigbares Risiko sieht oder Kompressionsalgorithmen nachbessern will oder was …? Und das geht nur über eine Supportanfrage mit der Enterprise-Version soweit ich das gesehen habe.
Das mit der Seriennummer in der Personal war mir neu, ich bezweifle aber, daß Antivir die für eine Supportanfrage akzeptiert. Das erinnert mich an David Lichfield, der zu Beginn daran gescheitert ist, Oracle Sicherheitslücken zu melden, weil Oracle Fehlermeldungen nur von Kunden mit Supportvertrag annimmt. Naja, ist ja deren Problem 🙂
Comment by Christian — 22. September 2008 @ 16:30
Und hier noch was schönes:
AutoIt-Skripte werden gerne bei der Softwareverteilung
in „grossen“ Unternehmen eingesetzt…allein der UPX-Packer hat schon
so manche falschpositive Resultate gegeben.
http://www.autoitscript.com/autoit3/
http://www.virustotal.com/analisis/9045f5ef2d91b73e2b4c0e1e4fa14aec
http://www.virustotal.com/analisis/2dd1e38a1a6ed3cd205e080a5910ff3c
Comment by schnee — 23. September 2008 @ 12:06
Hübsch … mein Antivir auf meinem Privatrechner hat neulich auch meine Orinoco-WLAN-Treiber vernichtet. Zum Glück nix wichtiges. Alles Snake Oil eben.
Comment by Christian — 23. September 2008 @ 12:38
Kommentare gesperrt wegen Spam
Comment by Christian — 23. Februar 2009 @ 09:46