Discussion:
ClamAV findet plötzlich 15 mal den gleichen Trojaner
(zu alt für eine Antwort)
c***@web.de
2016-12-26 13:40:01 UTC
Permalink
Hallo an alle,

heute habe ich testweise nochmal ClamAV durchlaufen lassen und habe mein Homeverzeichnis mal gescannt. Ganz plötzlich findet er bei folgenden Dateien den gleichen Trojaner namens "Win.Trojan.Toa-5370166-0".

- {1018e4d6-728f-4b20-ad56-37578a4de76b}.xpi
- 1E015d01
- 3E214d01
- 66E92d01
- 33856d01
- AEEB0d01
- ***@ArisT2Noia4dev.xpi
- DDDF2d01
- F3AC5d01
- FCF55d01
- startupCache.8
- startupCache.8.little.001
- startupCache.8.little.002
- ***@raymondhill.net.xpi
- ***@raymondhill.net.xpi.001

Das ist sehr merkwürdig, denn gestern war nichts von alledem. Da frage ich mich, wieso ClamAV, der sonst nie wirklich gemeckert hat, wieso er auf einmal jetzt am rum meckern ist. Sollen solche Scanner nicht eigentlich helfen, anstelle mögliche Fehler verursachen?

Sollte ich vielleicht mal mein .mozilla Firefox komplett entfernen mittels purge und neu machen?

Oder sollte ich ClamAV mal davon berichten was deren Scanner hier anzeigt?

Grüße,
Carlchen
Richard Kraut
2016-12-26 15:30:01 UTC
Permalink
Post by c***@web.de
heute habe ich testweise nochmal ClamAV durchlaufen lassen und habe
mein Homeverzeichnis mal gescannt. Ganz plötzlich findet er bei
folgenden Dateien den gleichen Trojaner namens
"Win.Trojan.Toa-5370166-0".
Halte ich fÃŒr einen Fehlalarm.
Post by c***@web.de
- {1018e4d6-728f-4b20-ad56-37578a4de76b}.xpi - 1E015d01 - 3E214d01 -
66E92d01 - 33856d01 - AEEB0d01 -
FCF55d01 - startupCache.8 - startupCache.8.little.001 -
Du kannst noch immer die verdÀchtigen Dateien auf virustotal.com
gegenchecken lassen.
Post by c***@web.de
Das ist sehr merkwÃŒrdig, denn gestern war nichts von alledem. Da frage
ich mich, wieso ClamAV, der sonst nie wirklich gemeckert hat, wieso er
auf einmal jetzt am rum meckern ist. Sollen solche Scanner nicht
eigentlich helfen, anstelle mögliche Fehler verursachen?
Du weißt, dass es einen Daemon von ClamAV gibt, welcher die
Signaturdatenbank automatisch aktualisiert (evtl. liegt es ja an einer
aktualisierten Datenbank?)?

Was die Erkennungsrate und Schutzfunktionen anbelangt kommt hier ClamAV
nicht mal ansatzweise an die kommerzieller Produkte heran und neigt
stark zu Fehlalarmen.
Post by c***@web.de
Sollte ich vielleicht mal mein .mozilla Firefox komplett entfernen
mittels purge und neu machen?
Bei der Entfernung eines Programms, auch mit purge, bleiben hiervon die
Konfigurationen im $home völlig unberÌhrt.

Aber wie bereits oben geschrieben. Ich halte es fÃŒr einen harmlosen
Fehlalarm.
Post by c***@web.de
Oder sollte ich ClamAV mal davon berichten was deren Scanner hier anzeigt?
Diese Möglichkeit steht Dir natÌrlich offen.

--

MfG Richi
c***@web.de
2016-12-26 17:20:02 UTC
Permalink
Hallo Richard,

ja da hast du bestimmt Recht. Ich selber bin da auch nicht sicher, ob man in diesem Falle ClamAV vertrauen kann. Denn ich habe auch die besagten Daten über virustotal getestet und hier wurde lediglich ClamAV auffällig und hatte einen Trojaner erkannt. Die Frage ist natürlich nun, wieso ist es bei ClamAV plötzlich so, das dieser nach einem letzten Signaturen-Update diese Dateien als Trojaner erkennt. Gestern hat er dies ja noch nicht getan und ich hatte diese Addons auch schon installiert gehabt.

Aber was die Großen Kommerziellen Virenscanner betrifft, nur weil sie nicht Open Source sind, müssen diese ja nicht gleich besser sein.

Ich habe ClamAV mal eine erneute Nachricht zukommen lassen und ich hoffe, das man reagieren wird. Ein möglicher Fehler der behoben werden sollte.

Grüße,
Carlchen
Sebastian Suchanek
2016-12-26 17:40:01 UTC
Permalink
Am 26.12.2016 um 17:51 schrieb ***@web.de:

Vorweg: Magst Du Deinem Mailclient evtl. mal beibringen, einen
"References:"- und/oder "In-Reply-To:"-Header zu setzen? Zersplitterte
Threads sind nicht wirklich angenehm zu lesen.
Post by c***@web.de
ja da hast du bestimmt Recht. Ich selber bin da auch nicht sicher,
ob man in diesem Falle ClamAV vertrauen kann.
Man kann einem Virenscanner grundsätzlich *nie* 100%ig vertrauen.
Entweder, weil es neue Viren geben kann, die der Scanner noch nicht
kennt, oder weil der Scanner - wie anscheinend bei Dir gerade -
Fehlalarme auslöst. Oder zum Beispiel auch, weil ein Virus das System
bereits so kompromittiert hat, dass ein Virenscanner den Virus nicht
mehr finden kann. Diese Liste ließe sich noch fast beliebig verlängern.
Das Ergebnis von Virenscans ist immer nur ein Indiz, eine
Wahrscheinlichkeit.
Das ist auch der Grund dafür, warum Virenscanner unter
Sicherheits-Experten nicht unumstritten sind.
Post by c***@web.de
Denn ich habe auch die
besagten Daten über virustotal getestet und hier wurde lediglich ClamAV
auffällig und hatte einen Trojaner erkannt. Die Frage ist natürlich nun,
wieso ist es bei ClamAV plötzlich so, das dieser nach einem letzten
Signaturen-Update diese Dateien als Trojaner erkennt.
Weil das Signaturen-Update anscheinend fehlerbehaftet war.
Soll vorkommen.
Kürzlich hat z.B. das Signatur-Update des Virenscanners bei meinem
Arbeitgeber dazu geführt, dass die Javaskripte im Firmen-Sharepoint als
Virus erkannt wurden...
Post by c***@web.de
[...]
Aber was die Großen Kommerziellen Virenscanner betrifft, nur weil
sie nicht Open Source sind, müssen diese ja nicht gleich besser sein.
[...]
Einschlägige Tests, z.B. der c't, zeigen immer wieder, dass es um die
Erkennungsquote von ClamAV leider nicht allzu gut bestellt ist.
Kommerzielle Produkte schneiden in aller Regel besser ab. (Und dennoch
sind auch die nicht perfekt - siehe oben.)


HTH,

Sebastian
Sven Hartge
2016-12-26 17:40:01 UTC
Permalink
Post by c***@web.de
Die Frage ist natürlich nun, wieso ist es bei ClamAV plötzlich so, das
dieser nach einem letzten Signaturen-Update diese Dateien als Trojaner
erkennt.
Neue Signaturen könne auch fehlerbehafetet sein. Vor knapp 2 Monaten gab
es ein Update, welches plötzliche alle MS-Office-Dateien als
trojanisiert betrachtet hat. Wurde binnen weniger Stunden behoben.


--
Sigmentation fault. Core dumped.
c***@web.de
2016-12-26 18:50:01 UTC
Permalink
Hallo Sebastian,

das würde ich sehr gerne machen, ich nutze aber keinen Clienten mit dieser E-Mail Adresse. Diese Mail läuft direkt über der Webmail Seite von Web.de bei mir. Ich bitte dies zu entschuldigen. Vermutlich weil ich die debian user german liste nicht aboniert habe, passiert das nicht so wie man es machen sollte? Dann tut mir das leid, das war keine Absicht. Dankeschön für deine Antwort.

Grüße,
Carlchen
c***@web.de
2016-12-27 17:30:01 UTC
Permalink
Hallo an alle,

gerade eben habe ich mal ein Update bei ClamAV durchgeführt da heute eine neues Updates der Viren-Signatur online kam. Ich weiß jetzt nicht, ob man meine zwei Mails bereits dort erhalten und gelesen hatte, aber nun werden bei ClamAV keinerlei "Viren und Trojaner" bei den .xpi Dateien angezeigt wie ich sie hier bereits geschildert habe. Es war wohl ein Fehler der sich dort eingeschlichen hat und zum Glück wurde schnell reagiert.

Ich bedanke mich für eure Hilfe und ihr hattet da zum Glück recht, das es sich hier um einen Fehler handeln musste.

Grüße,
Carlchen

Loading...