AV False positives
Hoe los je dat op?
Ga je het uitzoeken?
Benader je je AV leverancier?
Dat laatste kan de moeite waard zijn!
Zeker als de definitie database wordt onderhouden door een community en producten die daaruit voortvloeien (meer) kwaliteit kunnen gebruiken.
Bijvoorbeeld, false positive door ClamAv based scanner : Html.Exploit.CVE_2016_0108
Begin inhoud file
Gaf 1 resultaat op Virustotal.
https://www.virustotal.com/en/file/a206f5b7f2bc96e0a7dc06b5611d3c7ea04f88ce6ff910be87d626baf4ce47c1/analysis/1457635855/
Hebben al die andere AV's hem gemist of is het een false positive, dat is de vraag.
Het kan best dat die ene voorloopt op de rest.
Zou kunnen.
Een zoektochtje op het net gaf vele resultaten met discussie erover die leidden tot het vermoeden dat het om een false positive ging ook al was er een referentie naar een kwetsbaarheid voor IE.
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0108
Met de definities van de ClamAv database van vanmorgenvroeg gaf dit 'css file' dat op een bekende nieuwswebsite aanwezig was vandaag dus een melding van de ClamAv scanner.
Vroeg in de avond was er een nieuwe update waar de false positive alweer was uitgehaald!
Vermoedelijk door response vanuit gebruikers : Geen bliep van de scanner meer op hetzelfde file.
Dit is een AV response die wat mij betreft erg accuraat is!
Mocht je gebruik maken met een scanner gebaseerd op de ClamAv definitie database en je een false positive krijgen.
Check het op VT en nog een beetje elders en maak er melding van bij ClamAv.
http://www.clamav.net/reports/fp
Dat loont!
Ik klikte de eerste keer op verbreken, en na beetje googlen checkte ik Windows update, en bij geschiedenis stond dat een update van die tijd mislukt was, dus klik ik tegenwoordig vrijwel altijd op doorgaan.
Verder nog niet veel false positieves gehad. Ik upload gedownloade exes bij twijfel naar virustotal, waarbij er soms 1 tot 3 virusscanners alarm slaan, maar deze klassificeren dan ook vaak als "PUP" (potential unwanted program) dus dit is dan waarschijnlijk ook een false positive.
Torrents (ja, illegale software downloads) check ik vaak in VirtualBox eventjes van te voren. Maar mijn paranoia is zo groot dat ik niet vaak software torrent :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.