Security Professionals - ipfw add deny all from eindgebruikers to any

Unsigned Wireshark?

17-05-2016, 09:42 door Erik van Straten, 4 reacties
Laatst bijgewerkt: 17-05-2016, 09:59
Zojuist Wireshark x64 v2.03 gedownload (via https://www.wireshark.org/), deze blijkt GEEN digitale handtekening te hebben.

Ik heb de file geüpload naar VT [1], daar was deze nog onbekend (tweede signaal dat er iets goed mis is) en Qihoo meldt als enige dat er sprake kan zijn van malware. Hashes, file size e.d. zijn in de VT pagina te vinden.

Hebben jullie vergelijkbare ervaringen?

Aanvulling 09:46: Hoewel ik geen melding heb gehad dat de download incompleet zou zijn, komen de hashes en bestandgrootte niet overeen met [2]. Ik ga zo nogmaals downloaden ter verificatie.


Aanvulling 09:59: Mijn excuses, vermoedelijk gaat het om loos alarm.
De nieuwe download (eveneens van [3]) is wat langer en heeft wel een digitale handtekening. Ondanks dat de webbrowser het niet vermeldt is de eerste download kennelijk toch voortijdig afgebroken (het is lang geleden dat ik dit heb gezien, maar ik ben wel even op een PC van iemand anders aan het werk en daarop gebruik ik Google Chrome als browser, zelf gebruik ik bijna altijd Firefox). Ik doe nog wat verder onderzoek en zal het eindresultaat hieronder zetten.

[1] https://www.virustotal.com/nl/file/0f0412331915404b86e5009ff90b9277365e1830f828ef5dec485ab30623f5a1/analysis/1463470359/
[2] https://www.wireshark.org/lists/wireshark-announce/201604/msg00000.html
[3] https://1.eu.dl.wireshark.org/win64/Wireshark-win64-2.0.3.exe
Reacties (4)
17-05-2016, 10:33 door Anoniem
De md5 van de eerste 45596328 byes van Wireshark-win64-2.0.3.exe is gelijk aan het bestand op virustotal. Klinkt inderdaad als een incomplete download.
17-05-2016, 11:03 door Illnl
hier is hij gewoon gesigned.
lijkt mij een corrupte download.

Misschien bestand even door de malwr sandbox halen?
17-05-2016, 15:43 door Anoniem
Ondanks dat de webbrowser het niet vermeldt is de eerste download kennelijk toch voortijdig afgebroken (het is lang geleden dat ik dit heb gezien, maar ik ben wel even op een PC van iemand anders aan het werk en daarop gebruik ik Google Chrome als browser.......
Ernstige tekortkoming van Google Chrome blootgelegd?...
17-05-2016, 21:36 door Erik van Straten
Door Anoniem: De md5 van de eerste 45596328 byes van Wireshark-win64-2.0.3.exe is gelijk aan het bestand op virustotal. Klinkt inderdaad als een incomplete download.
Dank voor jouw antwoord, het klopt exact - zojuist bevestigd; de eerste 45596328 bytes van beide bestanden zijn identiek, en daarna houdt de ingekorte download op (waardoor ook de digitale handtekening ontbreekt).

Ook aan de anderen dank voor jullie reacties! Of het om een ernstige tekortkoming van Google Chrome gaat, weet ik niet: het kan ook dat de server een TCP reset gestuurd heeft. Helaas had ik op dat moment nog geen WireShark draaien, want dan had ik daar wellicht duidelijkheid over gehad...

De grootste "fout" wordt denk ik door Windows gemaakt doordat deze mij er niet op wijst dat het bestand corrupt moet zijn bij het bekijken van de eigenschappen ervan, en dat ook de digitale handtekening ontbreekt.

Nogmaals mijn excuses voor m'n te snelle conclusie!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search