Ich beginne mit Daten von der referenzierten Webseite, auf die ich mich beziehe. (Die Spalten waren nicht beschriftet, also habe ich die Bedeutungen eingefügt, je nachdem, wie sie aussahen.)
Hersteller von
Virenschutzprogrammen : CAT-QuickHeal Trojan.IGENERIC
Virenschutzsoftware: Cyren
W32 / GenBl.DEAF24C0! Olympus
AntiVirus-Hersteller: GData
Win32.Trojan.Agent.2OV2PC
Anti-Virus-Software: Ikarus
Trojan.Win32.Agent
AntiVirus-Hersteller: Rising
Malware.Undefined! 8.C (CLOUD)
Anti-Virus-Software: TrendMicro-HouseCall
Suspicious_GEN.F47V0716
Sobald Sie feststellen, dass etwas markiert ist, sollten Sie als Nächstes prüfen, ob es markiert wurde. Also fangen Sie an, jeden zu fragen.
Bei CAT-QuickHeal scheint die Software als Trojaner zu kennzeichnen (kurz für "Trojanisches Pferd"), benannt nach der berühmten Falle und wird in der Computersicherheitsbranche verwendet, um auf Software zu verweisen, die sich so verhält, als ob sie eine Sache tut, aber eine sehr unheimlicher Zweck). Und in welcher Familie von trojanischen Pferden ist es? IGenerisch. Vielleicht steht das ich für Internet?
Der W32 / GenBl.DEAF24C0! Olympus sieht genauer aus, also habe ich das als Suchstring verwendet.
Eine andere generische Website (dh, die nicht eng mit einem einzigen Anbieter verknüpft ist), CVEDetails, Nachdem ich die ultimative Sicherheitsanfälligkeits-Datenquelle von CAT-QuickHeal aufgerufen hatte, suchte ich nach W32 / GenBl.DEAF24C0! Olympus oder anderen Variationen, fand aber nichts verraten.
Der "DEAF24C0" besteht vollständig aus Hexadezimalzahlen. Zuerst dachte ich, dass dies eine Art bedeutungsvolles Wort sein könnte, aber nach einer Weile fing ich an zu glauben, dass dies nur eine Hexadezimalzahl ist (die zufällig mit dem englischen Wort "Deaf" beginnt). Ich fing an, das viel mehr zu glauben, als ich bemerkte, dass die Registerkarte "Details" von VirusTotal ein MD5 zeigt, das mit deaf24c0 beginnt. Deaf24c0 ist also die ersten 8 "Ziffern" eines MD5-Hashes.
Auf der anderen Seite schien eine Google-Suche nach GenBL Olympus mehrere Varianten zu zeigen, und niemand schien genau zu wissen, was er tut.
Im weiteren Verlauf sehen wir, dass GData dies für einen Win32-Agenten (Microsoft Windows 32-Bit-kompatible Plattform) mit Trojaner (Programm mit falschen Absichten) (Software, die im Hintergrund ausgeführt wird) hält. Das sind viele generisch klingende Phrasen. Das spezifischste, 2OV2PC, zeigte keine Suchergebnisse.
Das Threat Encyclopedia von TrendMicro zeigt für F47V0716 nichts.
Wir können auch andere Details von VirtusTotal überprüfen.
Die Registerkarte "Verhalten" dieser Datei zeigt an, dass einige temporäre Dateien erstellt werden, der Code (dh ein Programm startet) in einer Datei ausgeführt wird, deren Dateiname mit .tmp endet (siehe Abschnitt "Verarbeitete Prozesse"). Außerdem wird eine gebündelte Datei innocallback.dll verwendet
innocallback.dll schlägt mir die Verwendung von InnoSetup vor, einem Programm, das Installationsprogramme erstellt. Dies wird auch dadurch verstärkt, dass Sie zur Registerkarte Details dieser Suche gehen und eine 76,6% ige Beteiligung des "Inno Setup-Installationsprogramms" sehen. Die Registerkarte "Details" zeigt einen Kommentar zu "Diese Installation wurde mit Inno Setup erstellt."
Auf der Grundlage all der obigen Punkte kam ich zu einer nicht endgültigen Schlussfolgerung (die ich seitdem meine Meinung geändert habe), dass diese Software nach meinen Standards von "sicher" wahrscheinlich "sicher" zu sein scheint. Einige Antivirensoftware mag denken, dies scheint "Adware" zu sein, aber ich mache mir keine besonderen Sorgen, wenn ich am Ende eine Werbung sehe. Dies kann nur bei der Ausführung eines Installationsprogramms von Software betroffen sein, da Installationsprogramme dazu neigen, Dateien zu hinterlassen und möglicherweise DLL-Dateien zu registrieren oder andere Aktionen, die Administratorrechte erfordern.
Ich schaute jedoch weiter nach und bemerkte dann einige Details, die erklären, warum ich aufgehört habe, diesem Programm zu vertrauen. Diese Details wurden alle auf der Registerkarte "Details" dieser Suche gefunden . Ich fange damit an, nur die Details zu nennen, die ich am interessantesten fand:
- Dateigröße 3,92 MB
- Erstellungszeit 2012-10-02 05:04:04
- Zuerst in freier Wildbahn gesehen 2010-11-20 23:29:33
- Packer: F-PROT INNO, angehängt
- Copyright FitGirl
- Beschreibung Wolfenstein II-Setup
- Enthaltene Ressourcen: 9 Neutral, 5 Chinesisch vereinfacht, 3 US-Englisch
Okay, hier sind die Gründe, warum ich problematische Aspekte sehe.
Vor allem, warum wurde das Programm 2010 gesehen, aber eine Erstellungszeit von 2012 gemeldet?
Die Tatsache, dass es einige chinesische Komponenten zu haben scheint, scheint verdächtig zu sein, es sei denn, es gibt eine Erklärung. Wenn sich diese Software auf eine Art internationalen Handel bezogen auf China bezieht, könnte dies einen Sinn ergeben. Wenn dies ein Programm war, das gerade aus dem Internet heruntergeladen wurde, wäre ich viel vorsichtiger. Ich bin aufgeschlossen genug, um Menschen auf der ganzen Welt eine Chance geben zu wollen, und ich persönlich bevorzuge es, Chinas Geschäft zu geben, so dass wir zwingende Gründe haben, freundschaftliche Beziehungen zu ihnen aufrechtzuerhalten, und ich weiß, dass eine Menge Sachen hergestellt wurde, die ich verwende in China. Wenn ich jedoch Chinas Engagement im Internet sehe, habe ich festgestellt, dass es meistens mit Cyberangriffen, Betrug oder anderen höchst unerwünschten Dingen zusammenhängt.
Am verurteilendsten ist, dass es sich als "Wolfenstein II Setup" bezeichnet. Ich war zufällig ein Spieler in der Zeit, als das Schloss Wolfenstein verkauft wurde. Die 1984 erschienene Fortsetzung "Beyond Castle Wolfenstein" scheint in etwa 52 KB-55 KB heruntergeladen zu werden. Wenn dies der Fall ist, warum sind es 4.000 KB? Oder vielleicht war dies die Rückkehr zur Burg Wolfenstein, die etwa 36.000 KB betrug. Oder eigentlich war dies der neuere Wolfenstein II: The New Colossus, der im Jahr 2017 veröffentlicht wurde und 27.000.000 KB freien Speicherplatz benötigt ( NintendoLife: Wolfenstein 2 ). In keinem dieser Fälle ist eine Dateigröße von 3,92 MB sehr sinnvoll, es sei denn, dies umfasst einen Emulator oder einen Downloader. In solchen Fällen wäre es mir viel angenehmer, die nützlichen Dateien direkt herunterzuladen.
Warum wird dieses Installationsprogramm auch von "FitGirl" anstelle von MUSE-Software, "Id-Software", Bethesda oder Activision vertrieben? Dies hört sich nicht nach einem Software-Distributor an, der an der ursprünglichen Wolfenstein-Software beteiligt ist, oder an einem der aktuellen großen Software-Unternehmen, die an einem Wolfenstein-Namen beteiligt waren.
Es sieht so aus, als würden Sie im besten Fall eine Datei betrachten, die das Urheberrecht verletzt. Insbesondere wenn diese Datei für geschäftliche Zwecke gedacht war, wird dies allgemein als striktes Nein betrachtet (selbst wenn man die Vorstellung ignoriert, dass Unterhaltungssoftware für viele Unternehmen als ungeeignet angesehen wird). Das ist der beste Fall. Wenn wir uns nicht mit dem besten Fall befassen, dann haben wir wahrscheinlich jemanden, der etwas irreführendes tut. Ich finde es jedenfalls nicht wahrscheinlich, dass dies gut / sicher / empfohlen erscheint.
Nun, um Ihre Frage zu beantworten, ob verschiedene Virensoftware unterschiedliche Dinge melden, ist dies einfach bekannt. Bei der Malware-Erkennung werden viele der zuvor erkannten und bekannten Probleme oder die besten Einschätzungen basierend auf dem Softwareverhalten zugrunde gelegt.
Antivirensoftware ist tot, sagt Sicherheitsexperte bei Symantec ... "Informationschef bei Norton-Entwickler sagt, Software verpasst generell 55% der Angriffe"
„Dies bedeutet, dass wir alle zwei oder mehr Jahre lang die Entdeckung dieser Malware verpasst hatten. Das ist ein spektakulärer Misserfolg für unser Unternehmen und für die Antivirus-Industrie im Allgemeinen. “
„Es war auch nicht das erste Mal, dass dies passiert ist. Stuxnet blieb über ein Jahr lang unentdeckt, nachdem es in der Wildnis freigesetzt worden war, und wurde erst entdeckt, nachdem eine Antivirenfirma in Weißrussland aufgerufen worden war, um sich Maschinen im Iran anzusehen. ”
„Diese Geschichte endet nicht mit Flame. Es ist sehr wahrscheinlich, dass es bereits ähnliche Angriffe gibt, die wir noch nicht entdeckt haben. Einfach ausgedrückt, Angriffe wie diese funktionieren. “
„Flame war ein Misserfolg für die Antivirus-Industrie. Wir hätten es wirklich besser machen können. Aber wir haben es nicht getan. Wir waren außerhalb unserer Liga, in unserem eigenen Spiel. “
Verstehen Sie also, dass diese Softwareprodukte zwar beruhigt zu sein versuchen, die Realität jedoch ist, dass sie nicht narrensicher sind.