Avast Free 2015 blokkeerd windowsupdate !!
http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe
Infectie:Win32:Evo-gen [susp]
C:\Windows\system32\svchost.exe
Is dit fals positive?
googlen op mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09 leverde meer meldingen van false positives op, o.a. door Comodo.
Lijkt me een false positive. maar Ik sluit niks uit ;-)
Welke Windows-versie draai je?
Is dit fals positive?
Ik zou het gewoon op het forum van Avast proberen: https://forum.avast.com/
Zie: https://www.virustotal.com/en-gb/url/22dbdbfee140df7ff6f318b55569a4fadb8a593d6ecf731622cc7ebbf6a7416e/analysis/
en https://www.virustotal.com/en-gb/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/1435164477/
Sommige IDS alarmeren zoals Suricata: ET POLICY PE EXE or DLL Windows file download
polonus
[/ergernis]
[/ergernis]
Is dit fals positive?
als je dan toch gaat klagen..
http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe
Infectie:Win32:Evo-gen [susp]
C:\Windows\system32\svchost.exe
Is dit fals positive?
Als ik http://au.download.windowsupdate.com/c/msdownload/update/software/defu/2015/06/mpas-fe_bd_3b1f7169e267483be6fb7a7dff380d9ebb35eb09.exe download, dan is daar volgens https://www.virustotal.com/en/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/1435164477/ niets mis mee (ook niet als je op "View latest" klikt, of de VirusTotal URL inkort tot https://www.virustotal.com/en/file/2c5eb68366eb4fe73476fc8fc95ba6113d2c13604bea19c837c9e722e06cb48e/analysis/).
Dat bestand bevat, uitgepakt, o.a. de bestanden mpasbase.vdm._p en mpengine.dll._p. Dat zijn zwaar gecomprimeerde patch-bestanden waarmee bestaande bestanden worden gewijzigd. Het is denkbaar, maar nogal onlogisch, dat een antimalware-update het bestand svchost.exe zou wijzigen. En in het bestand dat ik gedownload heb zie ik daar geen aanwijzingen voor.
Echter, de download vindt plaats via http. Een "MitM" (Man-in-the-Middle) kan jou een ander bestand laten downloaden dan jij denkt. Als het de aanvaller is gelukt om de DNS instellingen van jouw modem aan te passen, kan hij jouw webbrowser naar een ander IP-adres sturen dan het echte IP-adres van au.download.windowsupdate.com. Daarmee kan de aanvaller jou een bestand naar keuze laten downloaden. Als de aanvaller directe toegang heeft tot de netwerkverbinding tussen jouw PC en het IP-adres van de echte au.download.windowsupdate.com, kan hij ook "on-the-fly" een gedownload bestand wijzigen of door iets heel anders vervangen.
Aan de andere kant, tenzij de aanvaller een geheime sleutel van Microsoft heeft weten te bemachtigen en/of toegang heeft (gehad) tot een Micrsoft server gebruikt voor het digitaal ondertekenen van bestanden (beide een kleine kans maar niet ondenkbaar), kan de aanvaller geen digitale Microsoft handtekening onder het bestand hebben gezet.
(Een digitale handtekening toont aan wie een bestand heeft ondertekend, en dat het bestand sindsdien niet meer is gewijzigd).
Veel aanvallers beschikken wel over geheime sleutels van enkele andere bedrijven, en kunnen daarmee kunnen ze namens zo'n ander bedrijf een bestand digitaal ondertekenen. Ik weet niet of Windows Update (en in dit specifieke geval, een "Antimalware Definition Update"), vereist dat deze met een Microsoft sleutel (en bijbehorend certificaat) is gesigneerd.
Ik zou jouw melding zeker niet zomaar afdoen als een false positive, en je systeem met een aantal andere virusscanners scannen. Succes!
Edit: ik had de 2e VT URL niet ingekort, nu wel
Geeft wel aan dat Windows Defender toch wel heel snel & erg bij de tijd is wat betreft definitie-updates?!?!?...
Wat betreft de onderwerptitel: Misschien een type, gewoon de laatste e vergeten... Alhoewel er over een soortgelijke spelfout door een sponsor van Ajax (of NE) alle journaals heeft gehaald... ;-)
Ilja. _\\//
Wat betreft de onderwerptitel: Misschien een type, gewoon de laatste e vergeten... Alhoewel er over een soortgelijke spelfout door een sponsor van Ajax (of NE) alle journaals heeft gehaald... ;-)
Ilja. _\\//
En je dacht: kom, ik vervang de o van typo door de vergeten e van blokkeerde...hehe
https://www.virustotal.com/nl/url/22dbdbfee140df7ff6f318b55569a4fadb8a593d6ecf731622cc7ebbf6a7416e/analysis/1435451893/
Nog even de url gecontroleerd, met name omdat die begint met au, Australie, rest van de domein-naam klopt.
Frappant is wel dat zelfs bij VirusTotal er maar 1 uit 63 het als malware ziet, & waarbij n.b. Avast! dus niet in de lijst staat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.