Malwarebytes e falsi positivi

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Malwarebytes e falsi positivi

Messaggio da Al3x »

Veniamo al punto: scansione fatta per pura curiosità nella mia postazione di lavoro che so essere pulita e questi sono i risultati. Di tutte le segnalazioni, solo il primo è realmente un trojan e ne ero al corrente.

Tutti gli altri sono falsi positivi (tool di UBCD e NirSoft che nonostante costituiscano dei rischi, non sono veri e propri malware) mentre gli ultimi due sono nell'ordine:
- un programma rilasciato da telecom per la lettura dei file p7m (firma digitale) e scaricato dal loro sito (DS31_CSP_Pro_RC52.exe)
- un batch creato tempo fa da crazy.cat per la cancellazione dei file temporanei e che mi aveva chiesto di provare (test.cmd)


Immagine
I :amore Sasha

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Malwarebytes e falsi positivi

Messaggio da System » mer ago 28, 2013 7:37 am


Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1848
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Altrove
Contatta:

Re: Malwarebytes e falsi positivi

Messaggio da The Doctor »

A parte il primo e l'ultimo file, gli altri sono identificati come PUP (Potential Unwanted Program). Puoi disattivare la loro ricerca se vuoi ;)
Io sto con Wile Coyote e Gatto Silvestro...

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Malwarebytes e falsi positivi

Messaggio da Al3x »

The Doctor ha scritto:Puoi disattivare la loro ricerca se vuoi ;)
grazie ma non ho problemi a gestire una situazione come questa, la mia è una riflessione su come può un neofita gestire avvisi di questo tipo

se si esclude il primo, il secondo ed il terzo sono segnalati come Trojan (non PUP) e mi pare una accusa precisa
il penultimo è un file scaricabile dal sito telecom dedicato alle imprese e non capisco su che base ricada nella categoria PUP visto che di eseguibili nel mio computer ce n'è una quantità industriale :-D e questo è il solo ad essere stato categorizzato in questo modo
I :amore Sasha

Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1848
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Altrove
Contatta:

Re: Malwarebytes e falsi positivi

Messaggio da The Doctor »

Probabilmente il motore di scansione di MBAM tende a categorizzare come trojan/PUP tutto ciò che non conosce o che conosce così così :evil:

Della serie: meglio aver paura che prenderle :mrgreen:
Io sto con Wile Coyote e Gatto Silvestro...

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Malwarebytes e falsi positivi

Messaggio da Al3x »

The Doctor ha scritto: Della serie: meglio aver paura che prenderle :mrgreen:
giusto, spesso quel tipo di utility viene integrata nei kit di alcuni malware e forse è per questo che parte la segnalazione. Un esempio classico è srvany.exe, un tool che appartiene al vetusto NT Resource Kit di Microsoft (quindi del tutto lecito) che purtroppo viene utilizzato per registrare come servizio di Windows un qualsiasi eseguibile e che alcune software house includono nella lista nera.
I :amore Sasha

Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 8721
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Malwarebytes e falsi positivi

Messaggio da crazy.cat »

Al3x ha scritto:la mia è una riflessione su come può un neofita gestire avvisi di questo tipo
Non può, si spaventa e cancella tutto.
Al3x ha scritto:- un batch creato tempo fa da crazy.cat per la cancellazione dei file temporanei e che mi aveva chiesto di provare (test.cmd)
Sono proprio pericoloso...anche i batch che avevo fatto per il mio cd, poi convertiti in esegubili, malwarebytes li considerava dei trojani.
“La vita è come andare in bicicletta. Per mantenere l’equilibrio devi muoverti.”

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Malwarebytes e falsi positivi

Messaggio da developerwinme »

crazy.cat ha scritto:poi convertiti in esegubili
è possibile che non gli piaccia questa operazione?
Al3x ha scritto:Un esempio classico è srvany.exe, un tool che appartiene al vetusto NT Resource Kit di Microsoft (quindi del tutto lecito) che purtroppo viene utilizzato per registrare come servizio di Windows un qualsiasi eseguibile e che alcune software house includono nella lista nera.
Non ha la firma digitale Authenticode? :?

Comunque, Malwarebytes non è un antimalware in real time (almeno la versione gratuita), ma una sorta di strumento da "secondo parere": in tal caso, a differenza dell'antivirus residente (dove eventuali falsi positivi hanno una incidenza importante), secondo me si può anche perdonare una maggiore propensione a falsi positivi, in cambio di una migliore rilevazione.
Marco Adriani
developerwinme.wordpress.com

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Malwarebytes e falsi positivi

Messaggio da Al3x »

developerwinme ha scritto: Non ha la firma digitale Authenticode? :?
non è un problema di firma ma dell'uso che se ne può fare, una specie di processo alle intenzioni che, in questo caso specifico, i software di sicurezza applicano anche alle applicazioni lecite
I :amore Sasha

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Malwarebytes e falsi positivi

Messaggio da developerwinme »

Al3x ha scritto:
developerwinme ha scritto: Non ha la firma digitale Authenticode? :?
non è un problema di firma ma dell'uso che se ne può fare, una specie di processo alle intenzioni che, in questo caso specifico, i software di sicurezza applicano anche alle applicazioni lecite
Ok, ma spero almeno venga chiarito per bene il motivo della rilevazione (cioè, "si tratta di un software notoriamente sicuro, ma potenzialmente utilizzabile in modo pericoloso"), altrimenti si rischia di fare prendere all'utente la decisione sbagliata. (In questo caso va considerato che, probabilmente, chi usa tale software sa cosa farsene e come interpretare la rilevazione, ma resta sempre un comportamento migliorabile secondo me).
Marco Adriani
developerwinme.wordpress.com

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Malwarebytes e falsi positivi

Messaggio da Al3x »

ti spiego in pratica cosa ho rilevato come esperienza diretta. Mi è capitato in passato e in più di una occasione, ti trovare quel file infilato in una delle cartelle del profilo utente come risultato di una infezione. In buona sostanza il virus writer lo aveva utilizzato per registrare il malware come servizio e la sua presenza era solo il segno dell'attività svolta.
Si tratta ovviamente di computer in cui non era presente il resource kit ma anche nel caso questo sia presente, il software di protezione lo segnala come minaccia.
Non chiedermi ne quale antivirus e ne la denominazione gli sia stata affibiata perché proprio non ricordo ma per un utente smaliziato e con una certa esperienza l'avviso è facilmente interpretabile, ma alla gente comune (senza offesa) diventa difficile anche fornire spiegazioni e per tagliare la testa al toro, gli antivirus\antimalware lo definiscono tout court come qualcosa di indesiderato e da rimuovere.

Se vuoi ti faccio avere una copia del file e ci fai i test del caso, magari nel frattempo le cose sono cambiate. Comunque l'ho portato come esempio ;)
I :amore Sasha

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Malwarebytes e falsi positivi

Messaggio da developerwinme »

Al3x ha scritto: Se vuoi ti faccio avere una copia del file e ci fai i test del caso, magari nel frattempo le cose sono cambiate. Comunque l'ho portato come esempio
Grazie per la risposta. Volevo solo approfondire un po'. :)

Sulla mia macchina ho solo Windows Defender come antivirus, e dubito che lo rileverebbe (poi, Microsoft è piena di misteri, non si sa mai :D), quindi grazie, ma passo per la possibilità del test. :grazie
Marco Adriani
developerwinme.wordpress.com

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Malwarebytes e falsi positivi

Messaggio da System » mer ago 28, 2013 10:24 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio