clamav baki nem szeressük a magyart :-)

Minap jártam egy xp-s gépnél karbantartani.

Jó tudom, vista, meg win7, meg win8 is van már, de hát ez itt Magyarország, nem megy minden
egyszerre. :-)

A főpanasz pendrive-nál jelentkezett, állítólag összeomlott tőle az intéző.

Meg hogy nem ment az internet explorer sem facebooktól összerongyolta magát (állítólag).
De nem is ez a lényeg.

Hát mindjárt indulásképpen legyalultam az összes létező felpolcolt böngésző eszköztárat mielőtt
bármit megnyitnék ,
a szokásos ask.bar os mellett valami ST bigyó volt, a rendszer állítólag amúgy vírusmentes volt,
2 pendrive-al sem sikerült reprodukálni a hibát persze,
meg a külső vinyóval sem, az "állítólagos bűnös"
meg éppen nem volt meg, úgyhogy akko projekt stornó.
A facebook is bejött az IE-vel.

Ilyenkor néha elkap egy olyan képzet, hogy aki
feltalálta az első 3rd böngésző eszköztárat annak seggébe egy lángoló 3ágú szigonyt kéne
felnyomni, mert ezt a trendet kár volt bevezetni...

Azért a külső vinyóról bootoló knoppixból ráeresztettem egy clamscant a windows/system32-re
ha már feleslegesen elcipeltem.
az adsmsext.dll-ben talált valami trojan kilencezerakárvalamit,
megnéztem detect-pua no -val is, de úgy is megtalálta,
2 free online vírusscannerre feltöltve csak a clamav találta meg,
úgyhogy fals pozitív,a cucc dátum meg a verzióadatok, aláírás alapján is igencsak eredetinek tűnt,
azért elvittem későbbi vizsgálatra puszta kíváncsiságból.

Itthon aztán puszta kíváncsiságból rákerestem vacsora alatt,
meg leszedtem egyet egy dll oldalról a méret stimmelt,
de az sha sum már nem, és a vbindiff is talált eltéréseket.
A dll oldalról letöltött fájlban nem talált persze semmit.

Gondoltam röhögök egyet, letöltöttem egy winxp_sp3_eng és egy winxp_sp3_hun-t az MS-től,
ha már úgy is ráérek.
wine-al kicsomagoltam, és cabextract-al kiszedtem a cabinetből a dll-eket.

A tipp bejött ! Az angol verzió "vírusmentes" volt,
de a magyar sp3ban megtalálta a képzelt trojant. :-)))
Az elhozott fájl és a magyar sp3ban levő amúgy megegyezett sha pontossággal
nem túl meglepő módon.

És a két fájl (SP3_HUN, SP3_ENG) bár méretre verziószámra megegyezik tartalmában némileg valóban eltér.

Nincs tanulság, csak szerintem vicces, gondoltam felrakom röhögjetek ti is. :-)

Gondolom az vírusírtó-adatbázisban a kérdéses dll-t angol verzióra és SHA* ellenőrzésre vizsgálják és teszik fehérlistára, aztán ha nem passzol akkor biztos trojan :-)

Beküldtem clamavnak falspozitivként, ha megoldják megoldják, ha nem nem. Innentől ismert bug. :-)

Hozzászólások

"Ilyenkor néha elkap egy olyan képzet, hogy aki feltalálta az első 3rd böngésző eszköztárat annak seggébe egy lángoló 3ágú szigonyt kéne felnyomni, mert ezt a trendet kár volt bevezetni.."

++;

> Beküldtem clamavnak falspozitivként, ha megoldják megoldják, ha nem nem. Innentől ismert bug. :-)

Respect, kevesen csinálnak ilyet.

Ez a különös program PDF-eket is vírusnak látott.