G
Gast01234
Guest
hitmanpro26.exe wurde bei von antivir guard als WORM/Sohanad.T.12 erkannt !
Gaby Salvisberg
Super-Moderator
Vermutlich ein Fehlalarm
Avira Antivir blickt leider auf eine lange Geschichte unzähliger falscher Alarme zurück.
Vermutlich meint Antivir in den Erkennungsmustern von "Hitman Pro" eben nicht die Muster, sondern die Schädlinge selbst zu finden.
Kann auch sein, dass die Erkennungsdatenbanken bei Hitman ungenügend verschlüsselt sind. Könntest Du die Datei an Avira übermitteln und um Behebung bitten? Auf der soeben verlinkten Seite steht, wie das geht.
[edit: Nachtrag]
Update: Das mit dem falschen Alarm ist wohl doch nicht so völlig klar :o
Ca. um 20 Uhr herum waren virustotal.com und virusscan.jotti.org leider hoffnungslos überlastet, darum konnte ich die Datei dort nicht hochladen. Beides sind Gratisdienste, die eine hochgeladene Datei mit mehreren aktuellen Virenscannern prüfen.
Nun hat sich das Netz beruhigt und ich hab den Upload nachgeholt. Zu meiner Überraschung sind es immerhin 8 von 32 Virenscannern, die diesen Instant-Messenger-Wurm im Hitmanpro-File drin zu finden glauben (siehe [edit: Link ist abgelaufen]). Mit dabei ist auch Kaspersky, von denen ich kaum je "false positives" gesehen habe.
Ist die Datei nun verseucht? Vermutlich ist trotz des immerhin 25%-Resultats keine Panik angesagt. Wäre da wirklich was faul, würde ich mit einem über 50%igen Resultat rechnen. Zudem fand ich beim Hersteller einen FAQ-Eintrag, der sich mit Virenfunden in Hitmanpro befasst. Scheints haben diverse Virenscanner schon letztes Jahr falschen Alarm geschlagen. Laut Hitmanpro-Hersteller habe man fürs Kompilieren der Software ein Tool verwendet, das auch von manchen Virenschreibern eingesetzt wird. Die Antivirenprogramme scheinen auf die Header anzusprechen, die von diesem Tool erzeugt werden.
All dies ist aber nicht wirklich zufriedenstellend. Wir werden der Sache auf jeden Fall nachgehen.
Gaby
Avira Antivir blickt leider auf eine lange Geschichte unzähliger falscher Alarme zurück.
Vermutlich meint Antivir in den Erkennungsmustern von "Hitman Pro" eben nicht die Muster, sondern die Schädlinge selbst zu finden.
Kann auch sein, dass die Erkennungsdatenbanken bei Hitman ungenügend verschlüsselt sind. Könntest Du die Datei an Avira übermitteln und um Behebung bitten? Auf der soeben verlinkten Seite steht, wie das geht.
[edit: Nachtrag]
Update: Das mit dem falschen Alarm ist wohl doch nicht so völlig klar :o
Ca. um 20 Uhr herum waren virustotal.com und virusscan.jotti.org leider hoffnungslos überlastet, darum konnte ich die Datei dort nicht hochladen. Beides sind Gratisdienste, die eine hochgeladene Datei mit mehreren aktuellen Virenscannern prüfen.
Nun hat sich das Netz beruhigt und ich hab den Upload nachgeholt. Zu meiner Überraschung sind es immerhin 8 von 32 Virenscannern, die diesen Instant-Messenger-Wurm im Hitmanpro-File drin zu finden glauben (siehe [edit: Link ist abgelaufen]). Mit dabei ist auch Kaspersky, von denen ich kaum je "false positives" gesehen habe.
Ist die Datei nun verseucht? Vermutlich ist trotz des immerhin 25%-Resultats keine Panik angesagt. Wäre da wirklich was faul, würde ich mit einem über 50%igen Resultat rechnen. Zudem fand ich beim Hersteller einen FAQ-Eintrag, der sich mit Virenfunden in Hitmanpro befasst. Scheints haben diverse Virenscanner schon letztes Jahr falschen Alarm geschlagen. Laut Hitmanpro-Hersteller habe man fürs Kompilieren der Software ein Tool verwendet, das auch von manchen Virenschreibern eingesetzt wird. Die Antivirenprogramme scheinen auf die Header anzusprechen, die von diesem Tool erzeugt werden.
All dies ist aber nicht wirklich zufriedenstellend. Wir werden der Sache auf jeden Fall nachgehen.
Gaby
Zuletzt bearbeitet:
Bei Kaspersky wäre es in diesem Fall interessant zu wissen ob die Virensignatur diesen Virus entdeckt, oder wie ich vermute durch die Heuristik!?
Nach dem obigen Zitat, muss natürlich die Heuristik in diesem Fall ansprechen.
Gruss Camel
Gaby Salvisberg
Super-Moderator
Leider ist der Link zum Virustotal-Resultat heute nicht mehr gültig. Kaspersky hatte (wie auch die anderen sieben) einen konkreten Namen für das Tierchen. Da ich KAV im Büro lokal installiert habe, kann ich ja mal scannen: Was gefunden wird, heisst "IM-Worm.Win32.Sohanad.t". Das klingt für mich nicht nach einer allgemeinen Bezeichnung für ein per Heuristik vermutetes Teil.
Gaby
Gaby Salvisberg
Super-Moderator
Entwarnung: Falscher Alarm
Sodeli! Die sind ja fix, die "AntiviRussen", denn schon habe ich Bescheid von Kaspersky Labs, die ich um Prüfung der Datei gebeten hatte:
Es wird sich also nur noch um Stunden handeln, bis zumindest bei Kaspersky der falsche Alarm "behebt" äh behoben wird.
Bolshoje sbassiba (vielen Dank) an's KAV-Labor
Gaby
Sodeli! Die sind ja fix, die "AntiviRussen", denn schon habe ich Bescheid von Kaspersky Labs, die ich um Prüfung der Datei gebeten hatte:
Es wird sich also nur noch um Stunden handeln, bis zumindest bei Kaspersky der falsche Alarm "behebt" äh behoben wird.
Bolshoje sbassiba (vielen Dank) an's KAV-Labor
Gaby