Warnmeldung vor Schadprogramm bei F-Secure
Zitat von Psychodoc am 31. März 2023, 17:09 UhrAm heutigen Freitag erhielt ich von F-Secure eine Warnmeldung vor einem Schadprogramm beim Elefanten:
Heuristic.HEUR/AGEN.1325476
C:\ELEFANT1\BDTRep.zip\[3] BDTRep/DB32Rep.exeVersionsinformationen
Scan-Module:
- F-Secure Capricorn: 18.0.936 (2023-03-31)
- F-Secure Hydra: 6.0.573 (2023-03-31)
- F-Secure Lynx: 2.6.4
- F-Secure Online: 18.10.1321
- F-Secure USS: 6.0.208 (2020-04-14)
- F-Secure Virgo: 1.3.48 (2023-03-27)
- F-Secure Virgo Detection: 18.10.1321
Liegt ein Lieferkettenangriff vor oder ein falsch positiver Befund?
Am heutigen Freitag erhielt ich von F-Secure eine Warnmeldung vor einem Schadprogramm beim Elefanten:
Heuristic.HEUR/AGEN.1325476
C:\ELEFANT1\BDTRep.zip\[3] BDTRep/DB32Rep.exe
Versionsinformationen
Scan-Module:
- F-Secure Capricorn: 18.0.936 (2023-03-31)
- F-Secure Hydra: 6.0.573 (2023-03-31)
- F-Secure Lynx: 2.6.4
- F-Secure Online: 18.10.1321
- F-Secure USS: 6.0.208 (2020-04-14)
- F-Secure Virgo: 1.3.48 (2023-03-27)
- F-Secure Virgo Detection: 18.10.1321
Liegt ein Lieferkettenangriff vor oder ein falsch positiver Befund?
![](https://hasomed.de/wp-content/uploads/2020/01/Bilder_PM_2020_RC-96x96.jpg)
Zitat von René Chelvier am 31. März 2023, 17:25 UhrHallo,
die ZIP-Datei gehört zu Elefant. Sie sollte als Größe 7.643.690 Bytes und das Erstelldatum den 19.12.2022 haben.
Prüfsummen der ZIP
- 1995a4c93fb7f7ed244d8d58eee96f68 (MD5)
- d2f5e84f27d0f6708d6cc3acc7e8ff500e8b83b691865ddd5db32fcead367e42 (SHA 256)
Prüfsummen der DB32Rep.exe
- 2152918056d2999ae55d1e854ea7ef11 (MD 5)
- f943fa6b6bec72bbad0ca7c83775442bac3eaf5c73a3025164ee50ab91741cb7 (SHA 256)
Die Prüfsummen lassen sich zum Beispiel mit dem Tool https://www.heise.de/download/product/hashcalc-20465/ generieren.
Sind die Prüfsummen gleich, besteht keine Gefahr.
Hallo,
die ZIP-Datei gehört zu Elefant. Sie sollte als Größe 7.643.690 Bytes und das Erstelldatum den 19.12.2022 haben.
Prüfsummen der ZIP
- 1995a4c93fb7f7ed244d8d58eee96f68 (MD5)
- d2f5e84f27d0f6708d6cc3acc7e8ff500e8b83b691865ddd5db32fcead367e42 (SHA 256)
Prüfsummen der DB32Rep.exe
- 2152918056d2999ae55d1e854ea7ef11 (MD 5)
- f943fa6b6bec72bbad0ca7c83775442bac3eaf5c73a3025164ee50ab91741cb7 (SHA 256)
Die Prüfsummen lassen sich zum Beispiel mit dem Tool https://www.heise.de/download/product/hashcalc-20465/ generieren.
Sind die Prüfsummen gleich, besteht keine Gefahr.
Zitat von Psychodoc am 31. März 2023, 19:30 UhrHerzlichen Dank für Ihre rasche Antwort.
Die Prüfsumme der DB32Rep.exe habe ich auf Übereinstimmung überprüft.
Auch die Größe stimmt überein.
Bei der ZIP-Datei fand ich:
Erstellt: Donnerstag, 20. September 2018, 13:46:34
Geändert: Montag, 21. November 2022, 15:48:44
Auffällig finde ich, dass in den früheren kompletten Scans mit F-Secure keine Auffälligkeiten und keine Meldung gab. Dann kam in der 13. KW ein Zwischenupdate und danach schlug F-Secure an. Ich habe F-Secure gebeten zu überprüfen, ob es sich um eine falsch positive Meldung handelt.
Die Prüfsumme bedeutet ja nur, dass die Integrität des Gesamtpaketes in Ordnung ist und nicht verfälscht wurde.
Somit bleibt immer noch die Ungewissheit, ob sich nicht direkt eine mit Schadcode behaftete Datei ins Paket mit eingeschlossen wurde.
Herzlichen Dank für Ihre rasche Antwort.
Die Prüfsumme der DB32Rep.exe habe ich auf Übereinstimmung überprüft.
Auch die Größe stimmt überein.
Bei der ZIP-Datei fand ich:
Erstellt: Donnerstag, 20. September 2018, 13:46:34
Geändert: Montag, 21. November 2022, 15:48:44
Auffällig finde ich, dass in den früheren kompletten Scans mit F-Secure keine Auffälligkeiten und keine Meldung gab. Dann kam in der 13. KW ein Zwischenupdate und danach schlug F-Secure an. Ich habe F-Secure gebeten zu überprüfen, ob es sich um eine falsch positive Meldung handelt.
Die Prüfsumme bedeutet ja nur, dass die Integrität des Gesamtpaketes in Ordnung ist und nicht verfälscht wurde.
Somit bleibt immer noch die Ungewissheit, ob sich nicht direkt eine mit Schadcode behaftete Datei ins Paket mit eingeschlossen wurde.