Skandal

Programmierer erwähnt etwaige mit FPs, wie damit umgehen?

Recommended Posts

Einen wunderschönen guten Morgen! :D

Es geht um folgendes, ich bin zur Zeit auf der Suche nach einer bestimmten Software, und ich bin nun auch in der Open Source Szene fündig geworden.
Allerdings schreibt der "Entwickler" o.g. Software schon in der Beschreibung das diese unter Umständen False Positives auslösen könnte.
Nun bin ich mir etwas unsicher wie man mit solchen Aussagen von seiten eines Entwicklers umgehen soll?

Gibt es, neben Virustotal, Möglichkeiten solch Software prüfen zu lassen, kann das bspw. auch von Euch (Emsisoft) geprüft werden?
Es geht im Übrigen um folgende Software...

https://sourceforge.net/projects/peace-equalizer-apo-extension/?source=recommended

Gesetz dem Fall, die Executable wäre tatsächlich kompromittiert, wäre eine Infektion schon möglich wenn diese "nur" auf der Platte gelegen hätte?

Share this post


Link to post
Share on other sites

Hi, wenn man das Setup zu Virustotal hochgeladen hat, dann haben andere AV-Schmieden auch Zugriff die SHA. Wenn man das Setup nur auf die Festplatte geladen hat, dann sollte in der Regel nichts passieren, es sein denn, das Setup würde von alleine starten. Da dies derzeit nicht der Fall ist, habe ich gerade ausprobiert, geht davon keine Gefahr aus.

Muss man halt schauen ob Emsisoft das Setup prüfen möchte. Es wird ja jede Menge "Müll" hochgeladen die den Analysten viel Arbeit bereiten und letzten Endes keine Gefahr darstellen.

Das Ergebnis bei VT sieht derzeit folgendermaßen aus: Peace Equalizer

Share this post


Link to post
Share on other sites

Danke Dir für die Antwort, also rein auf der Platte liegen ist die Datei "ungefährlich!?!
Bleibt die Frage ob wirklich es wirklich ein False Positive ist und man die Software daher ohne Bedenken nutzen kann?

Share this post


Link to post
Share on other sites

Ja, ist soweit ungefährlich wenn die nur runtergeladen wurde.

Ob man die Software unbedenklich nutzen kann vermag ich nicht zu beurteilen. Im Zweifel besser nicht installieren. Meine Empfehlung: Wenn man doch installieren möchte, dann nur auf einem Testsystem!

Vielleicht schaut Fabian hier noch rein und prüft die Datei.

MfG Icewolf

Share this post


Link to post
Share on other sites

Da das Programm erstmals am 2017-07-26 bei VT gesichtet wurde und nach mehrmaliger Prüfung, zuletzt heute, keine weiteren Erkennungen dazu gekommen sind, kann man davon ausgehen, dass das Programm in Ordnung ist, es fehlt möglicherweise eine Signatur. Ich übernehme für meine Feststellung aber keine Gewähr!

Share this post


Link to post
Share on other sites

Danke Dir nochmals für die Antwort.
Mal schauen was der Fabian dazu sagt, wenn er Lust hat. :D
Darf sich natürlich auch jeder andere zu äußern, würde mich jedenfalls freuen! 

Share this post


Link to post
Share on other sites

Hi,

Der Autor des Programms hat eine relativ ausführliche Zusammenfassung zum Thema FalsePositives und Antivirenprogramme auf seiner Wikiseite: https://sourceforge.net/p/peace-equalizer-apo-extension/discussion/viruses/

Ich hab jetzt mal die Virustotal Ergebnisse der letzte 3-4 Versionen angeschaut und es handelt sich immer nur um 1-2 Anbieter, die das Programm als bedenklich einstufen. Die Gründe aus welchen ein AV das Programm als bedenklich einstuft, werden hier etwas ausführlicher erläutert: https://sourceforge.net/p/peace-equalizer-apo-extension/discussion/viruses/thread/c3d29671/

Es ist in der Tat so, dass bestimmte Programmiersprachen häufiger für unlautere Zwecke genutzt werden als andere. Dasselbe gilt für Kompression und Obfuskation von ausführbaren Dateien. Nutzt man (wissenltich oder unwissentlich) dieselben Techniken oder Sprachen in seinem Programm wie die Malware-Authoren, so muss man sich damit herumschlagen, dass einem immer böse Absichten unterstellt werden. Im Endeffekt sind es sozusagen "digitale Vorurteile",  die hier zur negativen Bewertung des Programms beitragen.

Letztenendes kann ich sagen, dass Emsisoft dieses Programm  (derzeit) nicht als bedenklich erkennt. Sollte die Verhaltensanalyse anschlagen, würde ich Sie bitten die Datei als False-Positive einzuschicken. Damit unsere Analysten sich die Datei nochmal im Detail anschauen und zu den Ausnahmen hinzufügen kann.

 

Mit freundlichen Grüßen

Kathrin

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.