Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum2 -- CercaGlobale -- Informativa su Cookie e Privacy

Questo Forum1 è in sola lettura -- Usa il Forum2


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
[RISOLTO] Stranissimo comportamento di Clamav
#1
Bug 
Salve a tutti,
mi trovo in una situazione inspiegabilmente strana (per me ovviamente):
utilizzando Ubuntu 10.04, ed analizzando con Clamav (Clamtk con firme aggiornate) un file (keyfinder.exe) scaricato dalla rete non mi denuncia alcuna infezione, cosa che invece Comodo free sotto Winxp trova infetto (ApplicUnwnt.Win32.AdWare.Keyfinder.~A).
Per scrupolo ho fatto l'analisi anche sul sito http://www.virustotal.com che analizza i files con circa 40 antivirus e con sorpresa, lo stesso Clamav lo identifica (Trojan.PSW.Agent-10).
Il risultato dell'analisi e' stato positivo con vari nomi per 23 su 43 antivirus.
C'e' qualche anima buona che sa spiegarmene il motivo. Grazie molte.
Cita messaggio
#2
KeyFinder è un programmino che è stato creato per ritrovare il ProductKey nel caso in cui si abbia una Licenza regolare (di Windows, ovviamente), ma ci si sia scordati del proprio ProductKey o lo si sia perso.
Il fatto che abbia la "specializzazione" di "leggere" il Product-Key di Windows, l'ha fatto finire ben presto nelle "liste di proscrizione" (ovviamente, su impulso di Microsoft, che ne temeva l'utilizzo per fini illegali).
Come risultato, il programmino in questione è divenuto un "must" nell'armamentario dell'incallito "perfetto crackatore" di Sistemi Operativi (illegalmente detenuti, tante volte) Windows.
In conseguenza di ciò (datosi che ogni moda fa tendenza) qualcuno s'è preso la briga di postare, un po' dappertutto in Rete, degli appositi KeyFinder... all'interno dei quali aveva celato -secondo le convenienze proprio o le direttive di chi l'aveva pagato per far quest'esimia operazione- questo o quel pericoloso malware.
E quelli che scaricavano il file "avvelenato" hna cominciato a ritrovarsi -con (ingiustificato) stupore- svariate volte infetti... Sicché, batti che ti ribatti, il piccolo programmino in questione è entrato di diritto -presumo, suo malgrado- nella classifica ingloriosa dei "Most Wanted".
Probabilmente, il file che hai in tue mani NON è per niente "infetto" (per cui, il tuo ClamAV "linuxiano" non rileva niente di male e non segnala nulla). Ma anche come file "non-infetto", in Windows, viene considerato potenzialmente un malware (perchè può dare modo a un malintenzionato di aver libero accesso al vero Product-Key di questo o quel Windows). Sicché, quando fai analizzare a VirusTotal (che è focalizzato su Windows, ovviamente [dato che circa il 95% dei PC usa soltanto Windows]) il file vien subito tacciato di "intrinseche tendenze criminali"... e anche ClamAV (che, in quel caso è proprio ClamWin, per esser più precisi) fornisce un uguale (o consimile) responso.
Se nel tuo files ci fosse stato un malware vero, il tuo ClamAV e ClamWin avrebbero dato ugual responso: l'avrebbero individuato entrambi... o se lo sarebbero fatti sfuggire entrambi (se non avessero avuto la "foto segnaletica" del reo nel proprio database).
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio
#3
(04-02-2012, 00:27 )monsee Ha scritto: KeyFinder è un programmino che è stato creato per ritrovare il ProductKey nel caso in cui si abbia una Licenza regolare (di Windows, ovviamente), ma ci si sia scordati del proprio ProductKey o lo si sia perso.
Il fatto che abbia la "specializzazione" di "leggere" il Product-Key di Windows, l'ha fatto finire ben presto nelle "liste di proscrizione" (ovviamente, su impulso di Microsoft, che ne temeva l'utilizzo per fini illegali).
Come risultato, il programmino in questione è divenuto un "must" nell'armamentario dell'incallito "perfetto crackatore" di Sistemi Operativi (illegalmente detenuti, tante volte) Windows.
In conseguenza di ciò (datosi che ogni moda fa tendenza) qualcuno s'è preso la briga di postare, un po' dappertutto in Rete, degli appositi KeyFinder... all'interno dei quali aveva celato -secondo le convenienze proprio o le direttive di chi l'aveva pagato per far quest'esimia operazione- questo o quel pericoloso malware.
E quelli che scaricavano il file "avvelenato" hna cominciato a ritrovarsi -con (ingiustificato) stupore- svariate volte infetti... Sicché, batti che ti ribatti, il piccolo programmino in questione è entrato di diritto -presumo, suo malgrado- nella classifica ingloriosa dei "Most Wanted".
Probabilmente, il file che hai in tue mani NON è per niente "infetto" (per cui, il tuo ClamAV "linuxiano" non rileva niente di male e non segnala nulla). Ma anche come file "non-infetto", in Windows, viene considerato potenzialmente un malware (perchè può dare modo a un malintenzionato di aver libero accesso al vero Product-Key di questo o quel Windows). Sicché, quando fai analizzare a VirusTotal (che è focalizzato su Windows, ovviamente [dato che circa il 95% dei PC usa soltanto Windows]) il file vien subito tacciato di "intrinseche tendenze criminali"... e anche ClamAV (che, in quel caso è proprio ClamWin, per esser più precisi) fornisce un uguale (o consimile) responso.
Se nel tuo files ci fosse stato un malware vero, il tuo ClamAV e ClamWin avrebbero dato ugual responso: l'avrebbero individuato entrambi... o se lo sarebbero fatti sfuggire entrambi (se non avessero avuto la "foto segnaletica" del reo nel proprio database).


Ti ringrazio molto per l'esauriente e rapida risposta, quindi se non ho frainteso devo fidarmi del mio Clamav sotto Ubuntu ignorando i risultati degli scanner online perche' usano Clamav per Win: ma fra tutti quelli che ci sono ne esiste (online) qualcuno affidabile che utilizza altro S.O.?
Ringraziando di nuovo, saluto.
Cita messaggio
#4
Soltanto Housecall di TrendMicro (se non mi inganno) consente scansioni online anche per GNU/Linux e Macintosh... Ma, anche se mi sbagliassi, son davvero pochi i siti che consenton di fare scansioni online per Mac e GNU/Linux (e UNIX in generale).
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio
#5
(04-02-2012, 12:56 )monsee Ha scritto: Soltanto Housecall di TrendMicro (se non mi inganno) consente scansioni online anche per GNU/Linux e Macintosh... Ma, anche se mi sbagliassi, son davvero pochi i siti che consenton di fare scansioni online per Mac e GNU/Linux (e UNIX in generale).

Molte grazie Monsee, mi sono sicuramente espresso male: mi riferivo ad un singolo file e non ad un S.O.
Grazie di nuovo per la cortesia e le info che mi hai dato.

Aspetto un po' di tempo prima di mettere [RISOLTO] nel caso tu avessi qualcosa da aggiungere.
Saluti
Cita messaggio
#6
No, per il caso dell'analisi di un singolo file, non saprei proprio dirti... Io, quando capita, mi affido ad uno scanner per Linux (ho, a seconda della "distro" che uso in quel momento, a disposizione ClamAV [con svariate interfacce], Avast! [in Foresight Linux] e -in PC-BSD- f-prot antivirus... e mi affido all'una o all'altra di loro)
[Immagine: http://www.pic4ever.com/images/2mpe5id.gif]Un poeta può sopravvivere a tutto tranne che ad un errore di stampa.(Andy Wahrol)
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)