[Virus]ClamAV geeft hits, McAfee niet - Privacy en beveiliging

Vraag

maandag 24 mei 2021 22:32

Acties:

0 Henk 'm!

Topicstarter

Ik heb een nieuwe QNAP NAS, en ik probeer die zo veilig mogelijk te houden. De standaard virusscanner die erop staat gebruikt virusdefinites van ClamAV. Wanneer ik die de NAS laat doorzoeken, dan stoot hij op enkele Word bestanden waarvan hij beweert dat er een Doc.Dropper.Agent.X trojan inzit.

Dat zijn bestanden van het werk van mijn vrouw, die zegt dat er helemaal niets aan scheelt.

Je kan op je NAS ook McAfee installeren en dat heb ik ook gedaan. Wanneer ik de NAS laat onderzoeken door McAfee vindt hij geen enkel probleem. Vreemd toch?

Op zich zou je kunnen zeggen "hoera", maar ik ben er niet gerust op, ik wil zekerheid.

Is er nog een manier waarop ik deze bestanden kan laten onderzoeken om zekerheid te hebben?

Bedankt!

Beste antwoord (via BartDG op 25-05-2021 10:01)

maandag 24 mei 2021 22:42

Montaner

Bestand hier uploaden.. ook ClamAV wordt daar gebruikt: https://www.virustotal.com/gui/

En mooi dat vrouwlief zegt dat er niets mee is..

Alle reacties

maandag 24 mei 2021 22:36

Acties:

0 Henk 'm!

g0tanks

Moderator CSA

False positives kunnen nou eenmaal voorkomen. Er zijn websites zoals https://virusscan.jotti.org/nl die bestanden met meerdere virusscanners voor je controleren. Je zou het document daar kunnen uploaden om te kijken wat de meerderheid vindt.

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW

maandag 24 mei 2021 22:37

Acties:

0 Henk 'm!

BartDG

Topicstarter

Dat ga ik eens proberen, bedankt!

maandag 24 mei 2021 22:37

Acties:

0 Henk 'm!

g0tanks

Moderator CSA

Ik denk trouwens dat dit beter past in Privacy & Beveiliging, dus ik verplaats je topic daarheen.

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW

maandag 24 mei 2021 22:42

Acties:

Beste antwoord ✓
0 Henk 'm!

Montaner

Bestand hier uploaden.. ook ClamAV wordt daar gebruikt: https://www.virustotal.com/gui/

En mooi dat vrouwlief zegt dat er niets mee is..

maandag 24 mei 2021 22:42

Acties:

0 Henk 'm!

BartDG

Topicstarter

Ok , bedankt!

Ik heb eens 1 bestand geprobeerd via die link van je, en 2 van de 15 scanners vinden een probleem: ClamAV (Doc.Dropper.Agent-6410074-0) en Ikarus (VBA.Agent). Nu sta ik nog altijd even ver natuurlijk, maar het is wel iets geruststellender dat dit wellicht een false positive is. Zou ik daar verder nog iets aan kunnen doen? Het betand laten onderzoeken door ClavmAV zelf ofzo?

maandag 24 mei 2021 22:45

Acties:

0 Henk 'm!

BartDG

Topicstarter

Montaner schreef op maandag 24 mei 2021 @ 22:42:
Bestand hier uploaden.. ook ClamAV wordt daar gebruikt: https://www.virustotal.com/gui/

Ook hier: 5 van de 60 zeggen dat er iets mis mee is. Doc.Dropper.Agent-6410074-0 of Suspicious_GEN.F47V1213. Tjah...

Montaner schreef op maandag 24 mei 2021 @ 22:42:
En mooi dat vrouwlief zegt dat er niets mee is..

Ja, dat stelt toch absoluut gerust. Toch?

dinsdag 25 mei 2021 00:07

Acties:

0 Henk 'm!

Starke

BartDG schreef op maandag 24 mei 2021 @ 22:42:
Ok , bedankt!
Ik heb eens 1 bestand geprobeerd via die link van je, en 2 van de 15 scanners vinden een probleem: ClamAV (Doc.Dropper.Agent-6410074-0) en Ikarus (VBA.Agent). Nu sta ik nog altijd even ver natuurlijk, maar het is wel iets geruststellender dat dit wellicht een false positive is. Zou ik daar verder nog iets aan kunnen doen? Het betand laten onderzoeken door ClavmAV zelf ofzo?

Mooi dat Ikarus dat weergeeft. Waarschijnlijk zijn het dus word documenten waar op de achtergrond een VBA script in zit, mogelijk om bijvoorbeeld bepaalde velden in te vullen met een key press of iets anders maar dat zou je moeten onderzoeken (en hopen dat het niet obfuscated is).

dinsdag 25 mei 2021 02:35

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

BartDG schreef op maandag 24 mei 2021 @ 22:45:
[...]
Ja, dat stelt toch absoluut gerust. Toch?

Je moet natuurlijk - behalve een virus scanner - ook je gezonde verstand blijven gebruiken.
Een dropper agent is an sich geen malware; het is een transport mechanisme.
En malware heeft een transport mechanisme nodig om op je PC te komen.

Wat je nu moet gaan doen is de PC van je vrouw onderzoeken op andere malware. Want zij heeft die documenten geopend op haar PC. Start daar de virus scanner op en laat die een volledige scan doen.
Voor de zekerheid moet je ook een andere one-off virus scanner downloaden, bijv. malwarebytes, en die een volledige scan laten doen. Eventueel kun je ook nog een off-line scan doen op de harddisk, alhoewel als de disk geëncrypt is dat niet zal kunnen.

Als je dan nog steeds alleen maar dropper agents vindt, kun je er van uit gaan dat het een false positive is.
Als je andere malware vindt, moet je die verwijderen en de IT afdeling van de werkgever van je vrouw inlichten

QnJhaGlld2FoaWV3YQ==

dinsdag 25 mei 2021 10:01

Acties:

0 Henk 'm!

BartDG

Topicstarter

Dat is nuttige info bedankt! Ik heb haar PC gescanned met Bitdefender, en die vond niets. Misschien straks nog eens proberen met Malwarebytes. Een offline scan zal niet lukken, want het is zo'n leuk kleine moderne laptop waarvan je niet bij de harddisk kan. Een oester gaat makkelijker open, dus daar waag ik mij niet aan.

Pagina: 1

Reageer