ClamAV und Drive Snapshot-Rettungsskripte

Samstag, der 06.05.2017, 07:52 Uhr, Mail von meinem Webspace-Provider, Virenfund im Blog. Wirklich? Ernsthaft? Nein! False-positive, again.

Oder auch:

  • The return of the false-positive
  • False-positive – Part II
  • False-positive – The second arrival

Ok, Spass wobei eher Galgenhumor beseite. Das Ganze hatten wir schonmal, ist aber bereits eine Weile her:

Kompilierte AutoIt-Skripte und die Virenscanner

Jedenfalls wurden diverse ZIP-Archive von den Drive Snapshot-Rettungsbeiträgen mit „Win.Trojan.Generic-6299811-0“ als infiziert gemeldet und vom Virenscanner umbenannt. Zur Sicherheit die Archive und deren Inhalt überprüft, alles ok und im Original-Zustand, folglich keine Infektion. Den Support kontaktiert, das es ein False-positive ist und gefragt wie es weiter gehen kann/soll/muss. Die Antwort relativ ernüchternd aber nicht ganz hoffnungslos:

Zum Einsatz kommt ClamAV. Nun ein Zitat vom Support:

„Sie haben die Möglichkeit, die FalsePositives unter https://www.clamav.net/reports/fp zu melden und zu hoffen, das diese aus der Liste entfernt werden.“

Hoffen? Ah ha. Klingt naja… Welche Datei genau „meckert“ der Virenscanner eigentlich an. Also eines der angeblich infizierten Archive hergenommen, entpackt und erstmal die AutoIt-Skripte und deren „Exen“ bei VirusTotal gescannt. Dort meldet ClamAV allerdings das alles gut sei (ein paar andere Scanner melden vmtl. auf Basis von Heuristik das es Malware sein könnte, sind aber in der Minderheit). Ja wie nun?! Das Ganze Archiv gescannt und prompt den „Trojan.Generic-blablabla“ erhalten. Hm, nun gut. Jede einzelne Datei gescannt, kein Treffer. Äh, ja, hm.

Auf einer Testmaschine mal schnell ClamWin installiert und den Inhalt eines der Archive gescannt:

ds-update_x86.exe: Win.Trojan.Generic-6299811-0 FOUND

Also doch eine „AutoIt-Exe“. Kurios ist allerdings, das bei VirusTotal mit der selben Datei kein Treffer bei ClamAV gelandet wird. Es hängt vmtl. an der Version der Virensignatur:

main: 57, daily: 23361, Updated: 07:02 06 Mai 2017
bzw.
main.cvd (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cvd (version: 23361, sigs: 2064603, f-level: 63, builder: neo)
bytecode.cvd (version: 297, sigs: 58, f-level: 63, builder: anvilleg)

(Quelle: ClamWin)

Bei VirusTotal sieht man leider nur „20170506“, wenig hilfreich in diesem Moment. Ein weiterer Scan bei VirusTotal, gut eine halbe Stunde später und mit viel Geduld (weil’s gerade lahmt), liefert dann doch einen Treffer:

Antivirus | Ergebnis | Aktualisierung
ClamAV | Win.Trojan.Generic-6299811-0 | 20170506

Schön.

Wie geht es weiter?

Abgesehen vom Melden der False-positives besteht die Möglichkeit, ein Verzeichnis beim Webspace-Anbieter vom Scan ausschließen zu lassen. Das ist zwar eine Option, aber um ehrlich zu sein, möchte ich das nicht, denn wird der Webspace doch mal kompromitiert, wäre das ja ein wunderbarer Verteilungsort, ferner ist mir der Aufwand zu hoch, jedesmal wenn ein Progrämmchen online gestellt werden soll, darauf zu achten, das es an einem bestimmten Ort liegen muss. Man müsste es außerhalb von WordPress platzieren, also nix mit mal schnell auf „Dateien hinzufügen“ klicken, dann jenseits vom Browser noch einen FTP-/SCP-Client verwenden, … man ist halt bequem oder verwöhnt.

Parallel dazu könnte man natürlich hergehen und die betreffenden Skripte neu kompilieren, aber wie lange hält das dann? Ganz gleich, wie man es nun angeht, um Arbeit kommt man nicht drum herum. Die umbenannten Archive müssen „zurückbenannt“ oder neu hochgeladen werden damit die bestehenden Links wieder funktionieren oder neu kompilieren/packen/mit Kennwort schützen/… und die Links aktualisieren.

Jedenfalls habe ich jetzt erstmal Meldung erstattet. Mal sehen, ob da was zurückkommt. Parallel dazu werde ich auf der Testmaschine mit den jeweils neuen Clam-AV-Signaturen prüfen. Die Archive umbenennen geht im Moment nicht (trotz Besitz- und aller anderen Rechte, Supportanfrage läuft). Neu hochladen macht aufgrund der noch aktuellen Signatur wenig Sinn, würde gleich wieder geblockt/umbenannt/sonstwie gesperrt werden. Also erstmal abwarten.

Update 06.05.2017 – 10:58 Uhr

Die Dateien konnten nun umbenannt werden, die Links bzw. Downloads sollten damit wieder funktionieren.

Update 06.05.2017 – 15:34 Uhr

Die Hoffnung, das man schnell aus der Sache rauskommt schwindet. Mit der neuen Signatur nach wie vor Falsch-Meldung.

daily.cld (version: 23362, sigs: 2065037, f-level: 63, builder: neo) (Updated 15:02 06 Mai 2017)

Bislang zudem keinerlei „Lebenszeichen“ von der False-positive-Meldung, scheinbar gibt es nicht mal eine automatische Eingangsmail o.ä.

Update 07.05.2017 – 00:32 Uhr

„Kein Licht am Ende des Tunnels“ in Sicht. Auch die Signatur

daily.cld (version: 23363, sigs: 2065125, f-level: 63, builder: neo) (Updated 23:02 06 Mai 2017)

meldet angeblichen Trojaner. Gute Nacht.

Update 08.05.2017 – 09:15 Uhr

Bislang hat sich seitens ClamAV nichts geändert, zumindest ClamWin auf der Testmaschine meldet nach wie vor „Infected file“. Eigenartig finde ich, das trotz keiner Änderung beim Anbieter (außer das ich die False Positive-Dateien wieder „zurückbenannt“ habe) keine neue Meldung von wegen „Viren fund“ kam. Allerdings ist mir auch nicht bekannt, in welchem Intervall beim Anbieter gescannt wird.

Update 03.06.2017 – 11:08 Uhr

Ach Mist, heute war’s (schon) wieder soweit, erneut Meldung vom Provider vonwegen Viren im Blog, wieder false-positive, die ganze Meldung bei ClamAV hat offentsichtlich nichts geändert. Gezwungenermaßen habe ich nun die betreffenden Dateien neu kompiliert und hochgeladen, mal sehen wie lange das hält.

Parallel dazu die neuen Dateien und Archive bei VirusTotal gescannt, die Ergebnisse sind vielversprechend, aber „niemand weiß, was die Zukunft bringt“:

VirusTotal – Ergebnis – ds-update_amd64.exe

VirusTotal – Ergebnis – ds-update_x86.exe

VirusTotal – Ergebnis – ds-rescue_w7_winre_10.zip

VirusTotal – Ergebnis – ds-rescue_w81_10.zip

VirusTotal – Ergebnis – ds-rescue_w81_winre_10.zip

Update 06.06.017 – 08:17 Uhr

Hier noch ein Nachzügler, der heute (mal wieder) als false-positive erkannt wurde:

VirusTotal – Ergebnis – ds-rescue_2-1-2.zip

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.