You are not logged in.

Wednesday, April 23rd 2014, 1:58pm

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Schokomuesli" started this thread

Date of registration:
Nov 7th 2010

Version:
none

Operating System:
Windows 7 SP1, Debian 6.x Squeeze & Red Hat Enterprise 6.x on VMware vSphere 5

  • Send private message

1

Monday, May 7th 2012, 11:42pm

Webguard False-Positive?

Hallo,

Heute wollte ich den neuen Goldwaveeditor herunterladen und der Download vom primären Server wurde Blockiert.

Dateiauswahl:
hxxp://www.goldwave.com/release.php

Die betreffende URL:
hxxp://www.goldwaving.com/downloads/gwave567.exe

Ich glaube dass es sich hierbei um einen False-Positive handelt.
Dennoch bin ich mir unsicher, da von der Datei gwave567.exe Versionen mit teils anderen MD5-Hashes unterwegs sind.

Die Hashes der beiden Downloads vom Hersteller (Primär, alternativ) sind jeweils:
d5b1fe1a07f27754f1c56658d3d8ea0b
...bei einer Dateigröße von 6,39MB und 83 Dateien im SFX Archiv.

Andere gwave567.exe Dateien im Umlauf haben die MD5 Summe:
ebe3a9a88033e640e40a4f3081580fdf
...bei einer Dateigröße von 6,07MB und 37 Dateien im SFX Archiv.

Zum Beispiel von TuCows: hxxp://www12.tucows.com/windows/files/gwave567.exe

Sehr merkwürdig...

Könnte jemand einen Blick darauf werfen?

Falls benötigt, habe ich zwei Samples hier heraufgeladen:
hxxp://www.file-upload.net/download-4342226/gwave_samples.zip.html


Gruß,
Schokomuesli

PS: Ich benutze Avira Professional Security (unter einer anderen Emailadresse als der Forenemail)

This post has been edited 2 times, last edit by "Schokomuesli" (May 7th 2012, 11:46pm)


4wolf

Community member

Date of registration:
Jan 3rd 2008

Version:
Avira Free Antivirus

Operating System:
Win 7 Prof. 64 Bit SP1

  • Send private message

2

Monday, May 7th 2012, 11:49pm

Bitte die betreffende Datei an das Avira Labor mit Typ Verdacht auf Fehlalarm mittels des Webformulars einsenden.
Du erhältst 2 Mails, eine vorläufige und in 1-2 Werktagen eine endgültige mit dem Ergebnis.
Letzteres dann hier posten.

Selbst kannst du die Datei sofort bei Virustotal prüfen lassen, URL dann hier posten

In meiner Signatur sind Links zu beiden Vorgehensweisen.
..........................................
.

.............................Avira Webformular.......... ...VIRUSTOTAL...........Avira Wissensdatenbank........... Java - Update

  • "Schokomuesli" started this thread

Date of registration:
Nov 7th 2010

Version:
none

Operating System:
Windows 7 SP1, Debian 6.x Squeeze & Red Hat Enterprise 6.x on VMware vSphere 5

  • Send private message

3

Tuesday, May 8th 2012, 12:07am

Hallo und danke für die Antwort.

Leider kann man beim Verdacht auf Fehlalarm keine URL angeben die im Browser nämlich blockiert wird.
Die Scans der beiden Samples sind bei Virustotal und metascan-online.com negativ, bis auf einen "Invalid Container" Fehler von Symantec Antivirus und ESET mit "failed to scan"

Die Ergebnisse lauten wie folgt:

- Für die Datei vom Vendor:
https://www.virustotal.com/file/7cced16b8d05a38c5bc68680ce38b2a5e1acaefb3912a62ea2ed548a2ffb94e9/analysis/1336427941/
http://www.metascan-online.com/results/ba28ykc7za91f1g0k1h3aoodqd2wblsb

- Für eine Variante der selben Datei (mit diversen Fehlern):
https://www.virustotal.com/file/af79ae13635e6311d11f1859f1b30c23c1a10a31d3327543d469e8c25d136096/analysis/1336428284/
http://www.metascan-online.com/results/wrwxpldp27877rdmz45vzmgspwvy69bd


Mich würde es irgendwie interessieren warum vom anscheinend selben Programm verschiedene Dateien herumschwirren. Das angebliche Original besteht aus einem SFX Archive mit 83 Dateien, das andere wiederum aus einem mit 37 Dateien.

Gruß,
Schokomuesli

edit:
Aviras Dateiupload liefert beim Upload der Datei vom Hersteller die Meldung: "KNOWN CLEAN".
Wird die im Textfeld angegebene URL aber dennoch bearbeitet?

Die andere Variante ist derzeit "UNDER ANALYSIS".

This post has been edited 3 times, last edit by "Schokomuesli" (May 8th 2012, 12:22am)