Author Topic: Falso postivo?  (Read 10449 times)

0 Members and 1 Guest are viewing this topic.

shiktlah

  • Guest
Falso postivo?
« on: April 03, 2012, 11:56:02 AM »
Salve,
Ho avast da anni (internet security), aggiornato recentemente alla versione 7. Sia con la vecchia versione che con quella attuale mi impedisce di scaricare il debugger insight 5..che è un open source.Il download è preso direttamente da un sito sicuro al 100% (con tanto di pagina autenticata dal ministero della cultura).Non c'è verso di scaricarlo, arriva alla fine del download e poi mi blocca asserendo di aver trovato un trojan, è forse perchè insight è un pacchetto win32 autoinstallante? In tal caso come posso fare? E' un falso positivo?

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Falso postivo?
« Reply #1 on: April 03, 2012, 12:32:47 PM »
Prova a testare il link di download sul sito virustotal
https://www.virustotal.com
e selezioni (sotto scan it!) SCAN A URL.
Oppure prova a mandarmi il link ma sostituisci http con hxxp
Ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

shiktlah

  • Guest
Re: Falso postivo?
« Reply #2 on: April 03, 2012, 12:38:09 PM »
Innanzi tutto grazie per la risposta e per il link in secondo luogo,
Fatto.... ho fatto la scansione con virus scan ed ho anche abilitato avast a scaricare dal link..ho poi analizzato il file scaricato sia con virusscan che con avast... niente di niente è pulito come una colomba.... mah....  :o

shiktlah

  • Guest
Re: Falso postivo?
« Reply #3 on: April 03, 2012, 12:41:12 PM »
L'unico che risulta dare errore da virus scan (per la scansione dell'url) è proprio avast è l'unico che segnala errore. Che può essere? Eppure il file è strasicuro... è semplicemente un debugger,molto conosciuto oltretutto. Per questo ho pensato ad un falso positivo...
IL tipo di errore riportato da Avast è  "Win32:Neptunia-HR [Trj]" ma è appunto l'unico a rilevarlo.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Falso postivo?
« Reply #4 on: April 03, 2012, 12:44:00 PM »
Non ho capito.. ora l'hai scaricato e se fai la scansione con avast sul file non trova nessuna minaccia?
Mi mandi il link del file per favore, come ti ho detto
Quote
ma sostituisci http con hxxp
Oppure vai qui
http://www.avast.com/it-it/contact-form.php
e dal menu a tendina selezioni
Segnala un allarme virus falso in un file
e fai l'upload del file sospetto, e nella descrizioni metti anche il link di download.

Può anche essere che avevi delle definizioni vecchie e nel frattempo si sono aggiornate..  :o

Ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

shiktlah

  • Guest
Re: Falso postivo?
« Reply #5 on: April 03, 2012, 01:21:25 PM »
Si esattamente.Avast rivela un trojan all'atto del download ma se escludo il link per poterlo scaricare e poi lo scansiono non rileva alcuna minaccia di sorta. Virus scan poi non rileva nulla ne dal file nè dall'URL.

il link completo è hxxp://81.208.32.83:8080/oii/software/compilatori/windows/Debugger/insight5_win32.zip

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Falso postivo?
« Reply #6 on: April 03, 2012, 02:21:54 PM »
Io se faccio la scansione con il tasto destro mi trova comunque la minaccia.
Ho fatto io il report ad avast comunque, vediamo se mi rispondono

Ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

enigmista63

  • Guest
Re: Falso postivo?
« Reply #7 on: April 03, 2012, 03:40:43 PM »
Ciao ho fatto alcune prove , da quanto ho capito l'infezione non è all'interno della cartella zippata, ma il download viene interrotto pochi istanti prima del termine dello scaricamento, perche' viene disattivata la connessione al link quindi l'infezione avviene dal link dove si scarica , tale infezione cerca di entrare nel pc immediatamente dopo la fine del download.
Non  penso sia un falso positivo , penso che chi scarica questo debugger si trovera' il pc infettato a sua insaputa

shiktlah

  • Guest
Re: Falso postivo?
« Reply #8 on: April 03, 2012, 04:11:02 PM »
Strano... ho appena rifatto la scansione con avast del file e mi dice "nessuna minaccia rilevata"...  .Poi l'ho rifatta col tasto destro sulla cartella zippata e me la trova. E' davvero strano pero' che il sito in questione rilasci link infetti. Si tratta di un sito ufficiale.. non di un sito preso chissà dove a casaccio.Inoltre il file è un open source..mica un file hackerato od illegale.
« Last Edit: April 03, 2012, 04:15:41 PM by shiktlah »

enigmista63

  • Guest
Re: Falso postivo?
« Reply #9 on: April 03, 2012, 05:12:45 PM »
Ciao se hai voglia mandami in MP la cartella, io l'ho scaricata, e non mi rileva nessuna minaccia sia se la cartella è zippata sia nel file, per scaricarla ho disattivato avast, penso che il trojan che rileva sia accompagnato dalla cartella zippata, in poche parole se lo porta dietro a fine download, che il sito sia sicuro non discuto, ma se è stato infettato ad insaputa del webmaster?

shiktlah

  • Guest
Re: Falso postivo?
« Reply #10 on: April 03, 2012, 06:10:19 PM »
Si ho visto che si porta dietro il virus a fine download e come te ho controllato e ricontrollato la cartella zippata e da problemi solo quando scansiono usando il tasto destro. Mi sembra strano che sia stato infettato all'insaputa del webmaster,può essere per carità..ma è il sito ufficiale dell'AICA,insomma... ha pure il patrocinio del ministero della cultura con tanto di sigillo ufficiale. La cosa che non capisco è perchè se faccio la scansione dall'avast manager usando l'opzione "seleziona cartella da analizzare" non mi rileva minacce di sorta, se invece la faccio col tasto destro dalla cartella zippata mi rileva la minaccia. IL problema è che non riesco a trovare download alternativi di insight5... degni di fiducia

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Falso postivo?
« Reply #11 on: April 03, 2012, 09:05:19 PM »
Intanto che sto attendendo una risposta da avast (speriamo che dicano qualcosa) ho verificato il discorso per cui non ti rileva il virus con la scansione tramite selezione della cartella.
Sembra che finchè non si attivi nella sensibilità delle impostazioni di scansione, la scansione dei file interi, non viene rilevato il virus, riporto a proposito dall'help
Effettua i test sui files interi (può essere molto lento per i files di dimensioni elevate) - Selezionando questa casella, i file verranno analizzati completamente, non solo le parti di un file che normalmente sono intaccate dai virus. La maggior parte dei virus sono di solito rilevati nella parte iniziale di un file o alla fine. Questa opzione permetterà una scansione più approfondita, ma rallenterà la scansione.
Quindi la scansione con il tasto dx probabilmente c'è l'ha di default questa opzione.
Come ha detto enigmista63 il problema non sembrano i file contenuti nella cartella ma il file stesso zip creato in non so che modo.

Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

enigmista63

  • Guest
Re: Falso postivo?
« Reply #12 on: April 04, 2012, 12:01:09 AM »
Ciao provato e riprovato, con avast attivo non riesco a concludere il download del file zippato, mi blocca non il download , ma la connessione penso perche' il virus secondo me tenta di infilarsi nel pc immediatamente dopo il download del file zippato.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Falso postivo?
« Reply #13 on: April 04, 2012, 08:14:30 AM »
Ciao provato e riprovato, con avast attivo non riesco a concludere il download del file zippato, mi blocca non il download , ma la connessione penso perche' il virus secondo me tenta di infilarsi nel pc immediatamente dopo il download del file zippato.
Si devi disabilitare la protezione web per poterlo scaricare.
Ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

shiktlah

  • Guest
Re: Falso postivo?
« Reply #14 on: April 04, 2012, 11:39:59 AM »
Già... devi disabilitare ed indicare il link come sicuro.Allora te lo fa scaricare.Mi chiedo se una volta scaricato non ti sei scaricato anche il virus e ti sei infettato il pc...'cidenti  >:(
Ad ogni modo davvero grazie per l'interessamento ad entrambi,siete stati gentilissimi.