Archief - De topics van lang geleden

McAfee Virusscan False Positive?

17-02-2007, 21:29 door G-Force, 11 reacties
Vandaag eens de hele PC laten scannen en op het einde van de
scan had de virusscanner een POP gevonden (niet gewest
programma). Het betrof hier geen virus of spyware, maar de
scanner sloeg toch alarm. Het bestand wordt voor alle
zekerheid even in quarantaine geplaatst, want voor het
zelfde geld blijkt het bestand ten onrechte als een POP te
worden aangezien. Het betrof hier het bestand
[color=blue]C:hpbinKillWind.exe[/color], maar een nadere bestudering van het
bestand deed mij de wenkbrauwen naar beneden brengen.
Bestudering van de Google hits over dit bestand lieten
kennelijk geen twijfel: het bestand zou legitiem zijn en op
de harde schijf gebracht als een Utility voor
computerproblemen. Het zou een onderdeel zijn van z.g.
BackWeb software. In Google stond de volgende tekst hierover:

...It is software that allows their tech's to call into
your machine when you have a problem and try to fix it
(under warranty). The KillWind.exe file is a program they
may use that "kills" or terminates any running or background
process. So it is just a HP software utility...


Voor de grap testte ik dit bestand eens bij VirusTotal. De
meeste scanners vonden inderdaad niets, alleen McAfee,
Ikarus en Kaspersky
hadden zo hun opmerkingen en spraken
over Risktools.

Opmerkelijk nu is, dat bij eerdere DAT-versies van McAfee in
het verleden dit zelfde bestand al eens eerder werd
aangewezen als een POP, maar de vorige DAT had op mijn PC niets
gevonden terwijl het betreffende bestand er al vanaf 2004 op
moet zitten.

Ik heb de zaak eens voorgelegd aan McAfee zelf door ze een
e-mail te sturen. Voor HP-gebruikers is het dus even
oppassen: het kan dus zijn dat McAfee Virusscan plotseling
begint te toeteren terwijl er - zoals het er nu uitziet -
niets aan de hand is.

Gebruikte software:
McAfee Personal Firewall plus, build: 7.1.113. McAfee
Virusscan Versie 10.0, Build: 10.0.27, Engineversie 5100,
DAT-versie: 4965 en datum DAT-bestand: 16-2-2007. Op Windows
XP home SP2 en alle patches.
Reacties (11)
18-02-2007, 15:28 door SirDice
Je wil niet weten hoeveel POP meldingen ik op m'n machine
kreeg. Ik heb het op een gegeven moment maar uitgezet..

NetCat, NMap, Pstools, etc.

Laat ik die dingen nu nodig hebben voor m'n werk ;)

Ik weet wel dat er malware is die bijvoorbeeld dankbaar misbruik maakt van psexec, pskill of netcat, beter goed gejat dan slecht verzonnen waarschijnlijk. Ik kan me voorstellen dat die killwind.exe op een zelfde manier ooit een keer misbruikt is.
26-03-2007, 16:49 door Anoniem
Ook mijn McAfee reageerde op C:hpbinKillWind.exe, maar pas nadat ik
het met het programma Hitman Pro 2.6.0.5 had gevonden.
Ik heb het programma wel verwijderd, maar was dat nu wel een goede zet?
Weet iemand hier nog meer over?
26-03-2007, 18:05 door SirDice
Het is een officieel programma van HP wat als Potentieel
Ongewenst Programma wordt aangemerkt. Let op het woord
potentieel. Het hoeft dus geen ongewenst programma te
zijn.
27-03-2007, 08:40 door pikah
Al die rotzooi van HP mag er van mij allemaal af, ik
installeer het in ieder geval niet.
27-03-2007, 16:52 door SirDice
Door pikah
Al die rotzooi van HP mag er van mij allemaal af, ik installeer het in ieder geval niet.
Dan zal je HP printertje ook niet veel meer doen..
27-03-2007, 17:12 door pikah
Mijn deskjet doet het perfect zonder die rommel :D
27-03-2007, 18:29 door SirDice
Door pikah
Mijn deskjet doet het perfect zonder die rommel :D
Hehehe... Niet zonder driver... Vergeet niet dat XP
standaard al een aantal HP drivers geinstalleerd heeft
staan. Maar evengoed, die andere "rommel" zoals HP JetAdmin
et al hoef ik ook niet echt.. Geeft ook een hoop leuke
"herrie" op je netwerk.. (SNMP broadcasts met een public
community string).
31-03-2007, 16:33 door Anoniem
Dit soort tools wordt in grote getale gebruik in IRC bots. Terecht dat McAfee
daarvoor waarschuwt. Dat doen ze niet voor niets.

Zoeken op bestandsnaam op Internet is geen manier om aan te tonen dat
een bestand veilig is.
31-03-2007, 17:56 door G-Force
UPDATE:

Er is zover ik heb kunnen nagaan sprake van een legitiem
programma (KillWind.exe), alleen er bestaat helaas malware die - na besmetting van een systeem - actief op zoek gaat naar executables zoals
AdminKill.exe en KillWind.exe en ze vervolgens laat uitvoeren.

Om te voorkomen dat malware meer schade berokkent dan alleen
maar een infectie, raadt McAfee aan om deze POP's (Pontenieel Ongewenste Programma's) te verwijderen.
11-04-2007, 10:16 door Anoniem
Ik kreeg vandaag ook de melding door Mcafee, dit alleen
omdat ik op de website van Trend Mircro een gratis malware
scan deed.
Bedankt voor het plaatsen van dit artikel! Het heeft mij
voldoende informatie gegeven.
17-10-2007, 17:00 door Anoniem
door Gdata virusscan gevonden en aangeduid als:
not-a-tool RiskTool Win 32 Pskill.p
wpvg
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.