Adware

derJan2
Windoof-User
Windoof-User
Beiträge: 39
Registriert: 23. Mai 2012 21:37

Adware

Beitrag von derJan2 »

Hallo,

ich habe mir postgres-demo-db.zip von der Veranstaltungsseite heruntergeladen. Dabei hat mich mein Antivirusprogramm (Avira) gewarnt:
E:\Users\...\postgres-demo-db\PostgreSQLPortable-9.4\App\PgSQL\lib\sslinfo.dll
[FUND] Enthält Erkennungsmuster der Adware ADWARE/NCast.6656

Gruß,
derJan2

Benutzeravatar
Robert
Ehemalige Fachschaftler
Beiträge: 511
Registriert: 6. Okt 2004 17:38
Wohnort: DA

Re: Adware

Beitrag von Robert »

Die Datei ist für die Prüfung von SSL Zertifikaten zuständig ( http://www.postgresql.org/docs/9.1/static/sslinfo.html ). Da man zum Üben für DKE eh nur Verbindungen zu localhost aufbaut braucht man das nicht. Daher hab ich die Datei einfach gelöscht und ein aktualisiertes zip hochgeladen. Damit sollten die Meldungen des Virenscanners weg sein.

Ich hab dann mal Kali angeschmissen und mir die Situation genauer angeschaut.
- Die dll Datei welche bei uns auf dem DVS Server liegt (bzw. lag) entspricht genau der Datei welche man von Sourceforge erhält ( http://sourceforge.net/projects/postgresqlportable/ ).
- Wenn ich sie durch https://www.virustotal.com/ jage, dann schlagen 23 Virenscanner an und 33 sagen sie ist clean.
- Die dll ist UPX gepackt, wo hingegen die dll bei der normalen (nicht portable) Version nicht komprimiert ist. Da viele Schädlinge ihren code mit UPX packen dürfte das der Grund für die Meldung der Scanner sein. Ich könnte mir auch durchaus vorstellen, dass manche Schädlinge sogar den gleichen Code nutzen um Zertifikate zu validieren. Wenn ein Virenscanner nun nicht genau den schädlichen Teil als Signatur hat, sondern auch jede andere Komponente davon zur Erkennung heranzieht, dann passieren schnell solche false-positives.

prox
Mausschubser
Mausschubser
Beiträge: 87
Registriert: 14. Apr 2015 19:38

Re: Adware

Beitrag von prox »

Was ist Nutzername und Passwort für die Demo ?

Benutzeravatar
Robert
Ehemalige Fachschaftler
Beiträge: 511
Registriert: 6. Okt 2004 17:38
Wohnort: DA

Re: Adware

Beitrag von Robert »

Falls noch jemand das Passwort braucht, schreibt mir eine PM.

Aus dem Uni-Netz benötigt man kein Passwort.

Antworten

Zurück zu „Archiv“