Computerbeveiliging - Hoe je bad guys buiten de deur houdt

FreeFileSync virus of false positive?

29-04-2018, 14:49 door Anoniem, 13 reacties
2 van de 67 av tests markeren FreeFileSync als virus oid. kan ik er vanuit gaan dat dit een false positive is?

PUA:Win32/InstallCore
Suspicious_GEN.F47V0427

zegt mij niet al te veel.

https://www.virustotal.com/en/file/8aa554eefc37f30315dd327ee6f99a9d07ce0b3c996f45cb8f933162159b5515/analysis/1524998933/
Reacties (13)
29-04-2018, 16:29 door Anoniem
Het is wel open source, maar blijkbaar niet zo heel populair dat er nog geen enkel issues is geplaatst:
https://github.com/flathub/org.freefilesync.FreeFileSync
Overigens staat dat die bij arch linux alleen in de AUR wat betekend dat programma een risico geval is. Vele arch linux gebruikers downloaden geen software die in de AUR staan.
https://aur.archlinux.org/packages/freefilesync/
Bij jou geval zal dat windows zijn, maar dat is wel ongeveer hetzelfde.

Ik zou een alternatief zoeken.
29-04-2018, 16:41 door [Account Verwijderd]
Als het al niets kost èn Virustotal markeert het voor maar slechts 0.01 % als onbetrouwbaar, is de bedoelde software voor mij altijd exit.... tenzij 100% zeker is - bronnen! - dat het false positives zijn.
29-04-2018, 17:38 door Spiff has left the building
Door Anoniem, 14:49 uur:
2 van de 67 av tests markeren FreeFileSync als virus oid. kan ik er vanuit gaan dat dit een false positive is?

PUA:Win32/InstallCore
Suspicious_GEN.F47V0427

https://www.virustotal.com/en/file/8aa554eefc37f30315dd327ee6f99a9d07ce0b3c996f45cb8f933162159b5515/analysis/

FreeFileSync bevat installCore, dat gebruikt kan worden voor een verdienmodel door middel van adware, het aanbieden van optionele extra's die aangeduid worden als: potentially unwanted program (PUP), of als: potentially unwanted application (PUA).
Voorgaande versies van FreeFileSync waren inderdaad adware supported (de donation Edition was adware-vrij).
Het aanbieden van de adware kon voorkomen worden door de installer offline uit te voeren.

De installCore component van FreeFileSync maakt het mogelijk om adware aan te bieden, maar met ingang van FreeFileSync 10.0 is de installer echter ad-free, er wordt géén adware meer aangeboden.
De FreeFileSync installer toont nu slechts een afbeelding van een dier :-)

De detectie door Microsoft's scanner is in zoverre correct dat FreeFileSync de installCore component bevat.
Maar gezien het feit dat de FreeFileSync installer geen adware meer biedt (laat staan andere malware bevat), is de PUA detectie incorrect.
30-04-2018, 10:40 door Anoniem
Ha, mijn eerste post hier op Security.nl
Dit is inderdaad een False Positive.
30-04-2018, 11:30 door Anoniem
Ha, mijn eerste post hier op Security.nl Dit is inderdaad een False Positive.

Incorrect, het is een true positive (categorie PUA = Potentially Unwanted Application).

''PUA.InstallCore is a potentially unwanted application that installs other potentially unwanted applications onto the computer''

Detectie is gevolg van de fusioncore DLL, wat een onderdeel is van InstallCore. Je conclusie is ten eerste fout, en ten tweede niet onderbouwd. Als je bijdragen wilt leveren, graag onderbouwd.

Verder zit in de naam PUA niet voor niets de 'P' van potentially. Of de applicatie unwanted is, is natuurlijk uiteindelijk aan jouzelf. Het is een terechte waarschuwing.
30-04-2018, 11:31 door Anoniem
Dit is inderdaad een False Positive.

Dit is inderdaad een False Positive, omdat ..... ?
30-04-2018, 11:36 door Anoniem
De detectie door Microsoft's scanner is in zoverre correct dat FreeFileSync de installCore component bevat.
Maar gezien het feit dat de FreeFileSync installer geen adware meer biedt (laat staan andere malware bevat), is de PUA detectie incorrect.

Zolang InstallCore technisch gezien *niet* verwijderd is uit FreeFileSync, geeft de scanner volstrekt terecht aan dat de applicatie de InstallCore component bevat. Indien de makers dit niet willen, dan kunnen ze dit component verwijderen. En dan zal de scanner terecht niet meer aangeven dat het bestand InstallCore bevat. Verantwoordelijkheid van de ontwikkelaars. Waarom zit dit adware component er nog in ?
30-04-2018, 11:40 door Anoniem
Fantastisch programma!. Ik gebruik het al jaren.
FreeFileSync maakt gebruik van Rsync en Synchroniseren, gaat zeer vlot.
Het is zeker geen virus. Het is open source.
Fijn ook dat je Freesync als achtergrond proces kan laten draaien (mirror, oneway etc.)
Ik maak gebruik van meerdere directories die onafhankelijk van elkaar gesynct moeten worden.

Geen betere gevonden.
30-04-2018, 12:27 door Spiff has left the building
Door Spiff, zo.29-04, 17:38 uur:
De detectie door Microsoft's scanner is in zoverre correct dat FreeFileSync de installCore component bevat.
Maar gezien het feit dat de FreeFileSync installer geen adware meer biedt (laat staan andere malware bevat), is de PUA detectie incorrect.
Door Anoniem, ma.30-04, 11:36 uur:
Zolang InstallCore technisch gezien *niet* verwijderd is uit FreeFileSync, geeft de scanner volstrekt terecht aan dat de applicatie de InstallCore component bevat.
Inderdaad, zoals ik al aangaf, de detectie dat FreeFileSync de installCore component bevat is wellicht nog correct.
De PUA aanduiding voor FreeFileSync 10.0 beschouw ik daarentegen als niet terecht, gezien het feit dat vanaf FreeFileSync 10.0 geen adware (PUP of PUA) meer wordt geboden bij installatie (ook al biedt de installCore component daartoe nog de mogelijkheid).

Door Anoniem, ma.30-04, 11:36 uur:
Indien de makers dit niet willen, dan kunnen ze dit component verwijderen. En dan zal de scanner terecht niet meer aangeven dat het bestand InstallCore bevat. Verantwoordelijkheid van de ontwikkelaars. Waarom zit dit adware component er nog in ?
Inderdaad. De huidige situatie geeft het idee dat de ontwikkelaar elk moment weer terug zou kunnen komen van het besluit de installer ad-free te maken. Misschien is dat zo, misschien is het een proef, om te zien of het huidige ad-free + Donation Edition verdienmodel goed genoeg functioneert.
Of misschien was het creëren van een nieuwe installer zonder installCore een klusje dat meer tijd nodig had, en is dat gereserveerd voor een volgende versie.
Wie het weet mag het zeggen :-)
13-12-2018, 00:00 door Anoniem
Ter info:
Heb met AVG op Win7 wel Win32/Heri in de .exe bestanden weten terug te vinden.
Versie 10.6
13-12-2018, 23:42 door Anoniem
is Virustotal nog wel betrouwbaar? Ik maak met enige regelmaat mee dat Virustotal met een 0/66 score komt terwijl Sucuri wél alarm slaat. Nu ook weer na een beetje muziek luisteren via soundcloud, (https://soundcloud.com/manev) gratis WAV download van een psy-trance setje, als je klikt kom je hier terecht: https://theartistunion.com/tracks/4ed481
Virustotal: Detectieverhouding: 0 / 66
klikken op Aanvullende informatie:
https://sitecheck.sucuri.net/results/theartistunion.com
Warning: Malware Detected
Critical Security Risk!!!

Moeten we nu iedere URL óók nog door sucuri en quttera laten checken om zeker te zijn? Zo wordt veilig internetten wel een super trage aangelegenheid. Zijn er werkelijk problemen met theartistunion.com? Dat zou toch wel een gigantische blunder van Soundcloud zijn.
14-12-2018, 09:50 door Spiff has left the building
@Anoniem do.13-12, 23:42 uur,
Wat je vermeldt is nogal off topic bij het oorspronkelijke bericht betreffend FreeFileSync en de rest van deze thread.
Post wat jij berichtte beter als nieuw topic. Dankjewel.
14-12-2018, 13:27 door Anoniem
De detectie is dat het de InstallCore component bevat. Dat schijnt inderdaad zo te zijn. Of hij actief gebruikt wordt of niet, doet dan toch niet ter zake? Dat is gewoon een PUA. En of het een ongelofelijk tof programma is of niet, zou daar geen invloed op moeten uitoefenen.

Er zitten hier een paar mensen tussen die in mijn optiek onverantwoord security-advies geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.