Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

AVG und das leidliche Thema mit dem False Positive.

gelöscht_265507 / 10 Antworten / Baumansicht Nickles

Sicherlich ist der eine oder andere daran interessiert, was in der Zwischenzeit mit dem Fehlalarm passiert ist und wie AVG die Sache unter den Teppich gekehrt hat.

Es war ja bekannt, das ich auf der Seite von AlfUlm eine Phishingwarnung hatte. AVG hat sich erst mal bedeckt gehalten und ich habe angefangen, sie täglich mit dem Problem zu bombardieren.
Zuerst wurde mir bestätigt, dass die Meldung echt war. Meine Antwort enthielt auch den Begriff "Bullshit". Dann war einige Zeit Ruhe im Karton.

Da man mir nicht mehr antwortete, habe ich mit AVG USA einen Live-Chat begonnen. Der Lady konnte ich ja nicht böse sein und sie bestätigte den Eingang meiner Meldung.
Eine Antwort könne 3 - 5 Tage dauern.
Ich hinterließ dann noch die Nachricht, dass der Besitzer des Forums möglicherweise rechtliche Schritte einleitet und Schadenersatz verlangen wird.
Danach musste ich für einige Stunden weg.

Als ich wieder nach Hause kam, hatte ich eine Nachricht von AVG, dass die Seite gecheckt wurde und das sie sauber ist. Allerdings die Textdatei (Auszug aus dem Text von AlfUlm) enthält Phishing-code.

Hoppla, da hat man bei Nickles doch den Quelltext der Seite geändert, denn ich bekomme keine Warnumg mehr.. Weit gefehlt. Xafford teilte mir mit, dass da nichts passiert ist.

Hmmm, was nun. Ich denke mal, die Brüder haben eine Bereinigung durchgeführt und geben es nicht zu.
Aber wie kann man das beweisen?

Heureka!
Den Rechner mit dem Image von gestern überspielt, denn da ist ja noch eine alte Virendatenbank drin. Patsch: Warnung: JS/Phish. Überrascht

Virendatenbank: 2641/6195 Link-Scanner: 1578

Also ein Update gemacht. Passiert dann ja eh.

Virendatenbank: 2641/6204 Link-Scanner: 1584

Seite wieder aufgerufen. Sauber. Cool


Die Textdatei hat zwar weiterhin die Bedrohung, aber das ist jetzt nicht mehr wichtig.
Ich werde sie jetzt löschen.

Novum: Das ist der längste Thread, den ich hier je geschrieben habe.

bei Antwort benachrichtigen
AlfUlm gelöscht_265507 „AVG und das leidliche Thema mit dem False Positive.“
Optionen

Ich glaubte ja bisher, nicht ganz unwissend zu sein.
Langsam zweifle ich aber an meinem Wissensstand.
Wie kann in einer reinen Textdatei eine Bedrohung sein? Überrascht Ich habe es immer noch nicht kapiert Unschuldig

bei Antwort benachrichtigen
groggyman AlfUlm „Ich glaubte ja bisher, nicht ganz unwissend zu sein. Langsam ...“
Optionen

Hallo

Es geht nicht um den Text als Schadcode, es geht vielmehr darum, dass du auf den Text antwortest und es dann zu den Unannehmlichkeiten kommt, wenn du Daten oder Passwörter frei gibst, an Personen die dazu nicht berechtigt sind, davor wollte AVG wohl warnen, nur dein Text war nur ein Zitat, das hat der Scanner aber nicht erkennen können, sage ich mal als Laie :-)

-groggyman-

bei Antwort benachrichtigen
IRON67 groggyman „Hallo Es geht nicht um den Text als Schadcode, es geht ...“
Optionen
nur dein Text war nur ein Zitat, das hat der Scanner aber nicht erkennen können, sage ich mal als Laie :-)

Hast du xaffords Postings nicht gelesen? Doch, AVG hat EXAKT diesen Text als Schädling erkannt.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
groggyman IRON67 „Hast du xaffords Postings nicht gelesen Doch, AVG hat EXAKT ...“
Optionen

Den Bericht habe ich gelesen und auch verstanden, was ist denn an meiner Aussage falsch ausser dass ich nicht die richtigen Worte verwendet habe, der Text ist im Filter hängen geblieben, genau so wie es teilweise unsittliche Begriffe manchmal auch erwischen kann.


-groggyman-

bei Antwort benachrichtigen
IRON67 groggyman „Den Bericht habe ich gelesen und auch verstanden, was ist ...“
Optionen
was ist denn an meiner Aussage falsch ausser dass ich nicht die richtigen Worte verwendet habe

Mea culpa. Da habe ich wirklich zu schnell gelesen. Du meintest, dass der Scanner nicht erkannt hat, dass es ein Zitat und keine Original-Phishing-Mail war. Alles klar.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
AlfUlm IRON67 „Mea culpa. Da habe ich wirklich zu schnell gelesen. Du ...“
Optionen

@IRON und
@groggyman
Leute helft mir, bitte. Eine Phishing-Mail könnte es sein, wenn ich den Anhang mit verlinkt hätte, habe ich aber ja ganz bewusst nicht, denn dort habe ich ja wirklich den Fiesling vermutet.
Ist jetzt meine Vermutung richtig, dass der/die Virenscanner bereits an der Abfassung des Textes eine Bedrohung sehen (weil sie vermuten, dass noch Schlimmeres kommt Unschuldig)?
Falls ihr das bestätigen könnt, habe ich die Geschichte verstanden.

bei Antwort benachrichtigen
IRON67 AlfUlm „@IRON und @groggyman Leute helft mir, bitte. Eine ...“
Optionen
Ist jetzt meine Vermutung richtig, dass der/die Virenscanner bereits an der Abfassung des Textes eine Bedrohung sehen...

Ja. Aber nicht an der "Abfassung", sondern an der EXISTENZ des Textes.

(weil sie vermuten, dass noch Schlimmeres kommt )?

Nein! Weil sie keine andere "zuverlässige" Möglichkeit haben, IRGENDWAS zu erkennen.




Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
IRON67 AlfUlm „Ich glaubte ja bisher, nicht ganz unwissend zu sein. Langsam ...“
Optionen
Wie kann in einer reinen Textdatei eine Bedrohung sein? Ich habe es immer noch nicht kapiert

Da gibt es nichts zu kapieren. Natürlich kann eine reine Textdatei keine Bedrohung sein. Da liegst du völlig richtig.

AVG und jeder andere AV-Hersteller hat mit Phishing ein Problem. Weder solche Mails noch Phishing-Seiten im Netz enthalten ja zwangsläufig Malware. Es gibt keinen zu analysierenden Programmcode, der als Vorlage für die Erstellung von Virensignaturen dienen könnte.

Man kann also nur zweierlei tun. Entweder wartet man auf Berichte von aufmerksamen Kunden oder Opfern, über die man an die Adressen der Webserver herankommt, über die diese Phishingseiten laufen oder auf Mails, um deren Quelle und charakteristische Besonderheiten zu finden.

Die Webadressen kommen auf eine Blacklist und beim Versuch, sie im Browser zu laden, blockt das AV oder es kommen Mails an und da muss man dann entweder den Text oder die eingebetteten Links untersuchen. AVG hat es in diesem Fall mal mit dem Text getan. Dumme Idee.

Inzwischen wird der Text von DREI AVs als böse erkannt: AVG, Icarus und TrendMicro-Housecall. LOL
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mawe2 IRON67 „Da gibt es nichts zu kapieren. Natürlich kann eine reine ...“
Optionen

Ich warte auf den Tag, wo die AV-Hersteller ihre eigenen Domains auf ihre Blacklists setzen!

"Es gibt nichts Gutes - außer man tut es!"

Gruß, mawe2

bei Antwort benachrichtigen
IRON67 mawe2 „Ich warte auf den Tag, wo die AV-Hersteller ihre eigenen ...“
Optionen
Ich warte auf den Tag, wo die AV-Hersteller ihre eigenen Domains auf ihre Blacklists setzen!

DAFÜR! LOL Und bis es soweit ist, empfehle ich die Infektion mit Win32/Ramnit. [Das war Ironie]
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen