False-Positives im Blog (mal wieder)

Totgeglaubte leben länger: Nach 2014 und 2017 schlug nun im Jahre 2022 wieder der Virenschutz, vmtl. immer noch ClamAV, bei meinem Provider zu und kassierte mehrere Dateien ein.

Es geht wie damals auch mehrheitlich um AutoIt-Skripte bzw. daraus resultierenden *.exe-Dateien die in *.zip-Archiven gepackt sind. Der automatische Virenscan beim Provider benennt die Dateien nach dem Schema

VIRUS_Win.Trojan.Generic-9948179-0_*.zip

um und schickt eine Mail. Man kann die Dateien nach voriger Erteilung der Rechte 0644 wieder umbenennen und so stehen sie wieder als Download in den Beiträgen zur Verfügung. Das Spielchen hatte ich die vergangenen 24 Stunden zwei Mal.

Parallel dazu wurde der Provider-Support informiert und die Dateien mal wieder als False-Positive bei ClamAV gemeldet, ein Crosscheck mit VirusTotal lieferte keine neuen Erkenntnisse. Klar, die Dateien bzw. Archive haben sich seit Jahren nicht verändert und Malware steckt nirgends drin.

Mal sehen, was sich dieses Mal ergibt und wie lange dann wieder Ruhe ist.

Update 06.05.2022

Seitens meines Providers wurde sehr schnell bereits ein Vorschlag gemacht, wie man das Ganze evtl. zumindest abmildern kann, darüber hatte ich 24 Stunden nachgedacht und gemäß Vorgabe das Ganze dann veranlasst. Der weitere Ablauf war dann leicht amüsant:

  • Vorschlag per Mail erhalten
  • Dem Vorschlag zugestimmt und die notwendigen Daten bereitgestellt
  • Eine Mail vom Support erhalten, dass das so nicht möglich wäre.
  • Noch bevor ich meine Antwort abschicken konnte eine weitere Mail vom Support erhalten, das es nun umgesetzt wäre.

Da waren nun drei verschiedene Supporter beteiligt, warum es kurzzeitig mal hieß das es nicht machbar wäre, ist mir nicht ganz klar. Hauptsache ist, das jetzt erstmal wieder Ruhe ist. By the way: Von den ClanAV-Analysten habe ich wegen der False-Positives bislang (wie in der Vergangenheit leider auch) nichts gehört.

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.