You are not logged in.

Sunday, August 31st 2014, 12:13am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Schokomuesli" started this thread

Date of registration:
Nov 7th 2010

Version:
none

Operating System:
Windows 7 SP1, Debian 7.x, Mac OS 10.9

  • Send private message

1

Monday, May 7th 2012, 11:42pm

Webguard False-Positive?

Hallo,

Heute wollte ich den neuen Goldwaveeditor herunterladen und der Download vom primären Server wurde Blockiert.

Dateiauswahl:
hxxp://www.goldwave.com/release.php

Die betreffende URL:
hxxp://www.goldwaving.com/downloads/gwave567.exe

Ich glaube dass es sich hierbei um einen False-Positive handelt.
Dennoch bin ich mir unsicher, da von der Datei gwave567.exe Versionen mit teils anderen MD5-Hashes unterwegs sind.

Die Hashes der beiden Downloads vom Hersteller (Primär, alternativ) sind jeweils:
d5b1fe1a07f27754f1c56658d3d8ea0b
...bei einer Dateigröße von 6,39MB und 83 Dateien im SFX Archiv.

Andere gwave567.exe Dateien im Umlauf haben die MD5 Summe:
ebe3a9a88033e640e40a4f3081580fdf
...bei einer Dateigröße von 6,07MB und 37 Dateien im SFX Archiv.

Zum Beispiel von TuCows: hxxp://www12.tucows.com/windows/files/gwave567.exe

Sehr merkwürdig...

Könnte jemand einen Blick darauf werfen?

Falls benötigt, habe ich zwei Samples hier heraufgeladen:
hxxp://www.file-upload.net/download-4342226/gwave_samples.zip.html


Gruß,
Schokomuesli

PS: Ich benutze Avira Professional Security (unter einer anderen Emailadresse als der Forenemail)

This post has been edited 2 times, last edit by "Schokomuesli" (May 7th 2012, 11:46pm)


4wolf

Community member

Date of registration:
Jan 3rd 2008

Version:
Avira Free Antivirus

Operating System:
Win 7 Prof. 64 Bit SP1

  • Send private message

2

Monday, May 7th 2012, 11:49pm

Bitte die betreffende Datei an das Avira Labor mit Typ Verdacht auf Fehlalarm mittels des Webformulars einsenden.
Du erhältst 2 Mails, eine vorläufige und in 1-2 Werktagen eine endgültige mit dem Ergebnis.
Letzteres dann hier posten.

Selbst kannst du die Datei sofort bei Virustotal prüfen lassen, URL dann hier posten

In meiner Signatur sind Links zu beiden Vorgehensweisen.
........
....................................Avira Webformular..... ...VIRUSTOTAL......Avira Wissensdatenbank..... Java - Update......

  • "Schokomuesli" started this thread

Date of registration:
Nov 7th 2010

Version:
none

Operating System:
Windows 7 SP1, Debian 7.x, Mac OS 10.9

  • Send private message

3

Tuesday, May 8th 2012, 12:07am

Hallo und danke für die Antwort.

Leider kann man beim Verdacht auf Fehlalarm keine URL angeben die im Browser nämlich blockiert wird.
Die Scans der beiden Samples sind bei Virustotal und metascan-online.com negativ, bis auf einen "Invalid Container" Fehler von Symantec Antivirus und ESET mit "failed to scan"

Die Ergebnisse lauten wie folgt:

- Für die Datei vom Vendor:
https://www.virustotal.com/file/7cced16b8d05a38c5bc68680ce38b2a5e1acaefb3912a62ea2ed548a2ffb94e9/analysis/1336427941/
http://www.metascan-online.com/results/ba28ykc7za91f1g0k1h3aoodqd2wblsb

- Für eine Variante der selben Datei (mit diversen Fehlern):
https://www.virustotal.com/file/af79ae13635e6311d11f1859f1b30c23c1a10a31d3327543d469e8c25d136096/analysis/1336428284/
http://www.metascan-online.com/results/wrwxpldp27877rdmz45vzmgspwvy69bd


Mich würde es irgendwie interessieren warum vom anscheinend selben Programm verschiedene Dateien herumschwirren. Das angebliche Original besteht aus einem SFX Archive mit 83 Dateien, das andere wiederum aus einem mit 37 Dateien.

Gruß,
Schokomuesli

edit:
Aviras Dateiupload liefert beim Upload der Datei vom Hersteller die Meldung: "KNOWN CLEAN".
Wird die im Textfeld angegebene URL aber dennoch bearbeitet?

Die andere Variante ist derzeit "UNDER ANALYSIS".

This post has been edited 3 times, last edit by "Schokomuesli" (May 8th 2012, 12:22am)