Análisis en VirusTotal de un par de archivos de Panda IS 2006
Jesús JB
He instalado en otra partición (D:) otro Windows XP y como antivirus he
puesto el Avast Home gratuito para probarlo. La sorpresa es que después de
hacer un escaneo completo al sistema (incluido la partición con el primer XP
[C:], donde está instalado Panda IS 2006) ha encontrado dos "virus". Después
los he mandado a VirusTotal y este es el resultado:
Archivo pskavs.dll:
AntivirusVersionActualización Resultado
AntiVir6.33.1.5020.02.2006 Frisk #2
Avast4.6.695.020.02.2006 Win32:CTX
AVG71820.02.2006 no ha encontrado virus
Avira6.33.1.5020.02.2006 Frisk #2
BitDefender7.220.02.2006 no ha encontrado virus
CAT-QuickHeal8.0016.02.2006 no ha encontrado virus
ClamAVdevel-2006012619.02.2006 Sirius.Annihilator.272
DrWeb 4.3320.02.2006 no ha encontrado viruse
Trust-InoculateIT23.71.8220.02.2006 no ha encontrado viruse
Trust-Vet12.4.208920.02.2006 no ha encontrado virus
Ewido3.520.02.2006 no ha encontrado virus
Fortinet2.69.0.020.02.2006 no ha encontrado virus
F-Prot3.16c19.02.2006 no ha encontrado virus
Ikarus0.2.59.020.02.2006 no ha encontrado virus
Kaspersky4.0.2.2420.02.2006 no ha encontrado virus
McAfee470120.02.2006 no ha encontrado virus
NOD32v21.141420.02.2006 no ha encontrado virus
Norman5.70.1020.02.2006 no ha encontrado virus
Panda9.0.0.420.02.2006 no ha encontrado virus
Sophos4.02.020.02.2006 W95/MrKlunky-A
Symantec8.020.02.2006 no ha encontrado virus
TheHacker5.9.4.09920.02.2006 no ha encontrado virus
UNA1.8316.02.2006 no ha encontrado virus
VBA323.10.520.02.2006 no ha encontrado virus
Archivo PAVCL.COM:
AntivirusVersionActualización Resultado
AntiVir6.33.1.5020.02.2006 W95/Bumble
Avast4.6.695.020.02.2006 Win32:Nimda
AVG71820.02.2006 no ha encontrado virus
Avira6.33.1.5020.02.2006 W95/Bumble
BitDefender7.220.02.2006 no ha encontrado virus
CAT-QuickHeal8.0016.02.2006 no ha encontrado virus
ClamAVdevel-2006012619.02.2006 no ha encontrado virus
DrWeb 4.3320.02.2006 no ha encontrado viruse
Trust-InoculateIT23.71.8220.02.2006 no ha encontrado viruse
Trust-Vet12.4.208920.02.2006 no ha encontrado virus
Ewido3.520.02.2006 no ha encontrado virus
Fortinet2.69.0.020.02.2006 suspicious
F-Prot3.16c19.02.2006 no ha encontrado virus
Ikarus0.2.59.020.02.2006 Win32.Bumblebee.1738
Kaspersky4.0.2.2421.02.2006 no ha encontrado virus
McAfee470120.02.2006 no ha encontrado virus
NOD32v21.141420.02.2006 no ha encontrado virus
Norman5.70.1020.02.2006 no ha encontrado virus
Panda9.0.0.420.02.2006 no ha encontrado virus
Sophos4.02.020.02.2006 W95/CIH-10xx
Symantec8.020.02.2006 no ha encontrado virus
TheHacker5.9.4.09920.02.2006 no ha encontrado virus
UNA1.8316.02.2006 no ha encontrado virus
VBA323.10.520.02.2006 no ha encontrado virus
¿Qué opináis? ¿Debo hacerle mucho caso? El otro sistema (C:) no da ningún
problema.
Gracias anticipadas.
--
Saludos,
Jesús JB
c.b.
> Hola,
> He instalado en otra partición (D:) otro Windows XP y como antivirus he
> puesto el Avast Home gratuito para probarlo. La sorpresa es que después de
> hacer un escaneo completo al sistema (incluido la partición con el primer XP
> [C:], donde está instalado Panda IS 2006) ha encontrado dos "virus". Después
> los he mandado a VirusTotal y este es el resultado:
> Archivo pskavs.dll:
[...]
> Archivo PAVCL.COM:
Los dos archivos que has enviado pertenecen a Panda (los encontraras en su
directorio)
No es la primera, ni la segunda, ni la tercera, etc, vez que se produce
este problema con archivos de Panda. Tienen la costumbre de no encriptar,
dejan los archivos en 'crudo' y otros antivirus pueden encontrar sus
propias rutinas de identificación de malware en su contenido.
Por otra parte, verás que los resultados son variopintos.
Cada cual ha encontrado (quienes han dado el 'falso positivo') cosas
distintas; a excepción de Antivir/Avira que pertenecen al mismo grupo
empresarial y usan las mismas bases antivirales.
> ¿Qué opináis? ¿Debo hacerle mucho caso? El otro sistema (C:) no da
> ningún problema.
Es un falso positivo.
Deberías avisar a Panda.
Si puedes, envía una copia de esos archivos a bauld...@gmail.com,
renombrandolos (dejarlos en pskavs y PAVCL) comprimiendolos y poniendoles
contraseña (infected). Envialos, si puedes, sólo en el caso de que no
tengan un tamaño superior a 1.0 MB cada uno.
saludos
c.b.
Jesús JB
"c.b." <simequier...@despammed.com> escribió en el mensaje
news:pan.2006.02.21....@despammed.com...
Gracias, ya te he mandado los ficheros de la manera que me dijiste.
--
Saludos,
Jesús JB
Fernando de la Cuadra
> No es la primera, ni la segunda, ni la tercera, etc, vez que se produce
> este problema con archivos de Panda. Tienen la costumbre de no encriptar,
> dejan los archivos en 'crudo' y otros antivirus pueden encontrar sus
> propias rutinas de identificación de malware en su contenido.
Este problema, como dices, se presenta muchas veces, y no solamente cuando
un antivirus lo hace con ficheros de Panda. En nuestros controles de calidad
también comprobamos que no se produzcan estos falsos positivos en productos
de la comptencia, tanto en ficheros cifrados como sin cifrar. Cuando
nuestros productos dan un falso positivo, lo corregimos, cosa que deberían
hacer AntiVir, Avast, Avira, Clam, Ikarus y Sophos.
> Es un falso positivo.
> Deberías avisar a Panda.
En Panda ya estamos avisados, pero no podemos hacer que otra empresa corrija
un error. Nos pondremos en contacto con ellos para avisarles, simplemente.
Un abrazo
Fernando de la Cuadra
International Technical Editor
Panda Software
c.b.
>> No es la primera, ni la segunda, ni la tercera, etc, vez que se produce
> Este problema, como dices, se presenta muchas veces, y no solamente
> cuando un antivirus lo hace con ficheros de Panda. En nuestros controles
> de calidad también comprobamos que no se produzcan estos falsos
> positivos en productos de la comptencia, tanto en ficheros cifrados como
> sin cifrar. Cuando nuestros productos dan un falso positivo, lo
> corregimos, cosa que deberían hacer AntiVir, Avast, Avira, Clam, Ikarus
> y Sophos.
Falsos positivos los hay siempre. Y aumentaron con las 'nuevas
tecnologías' de detección heuristica.
En esta ocasión tenemos 2 archivos 'sanos' (se pueden ejecutar). Ahora
bien, aun y cuando se ejecuten, no infectarán el sistema en el que
residen; como tampoco se propagarán, infectando otros sistemas.
Es un caso clarísimo de 'falso positivo'.
Cosa que le decía a Jesus:
>> Es un falso positivo.
>> Deberías avisar a Panda.
> En Panda ya estamos avisados, pero no podemos hacer que otra empresa
> corrija un error. Nos pondremos en contacto con ellos para avisarles,
> simplemente.
Me parece más sencillo, para un presunto usuario de Panda, que avise a su
proveedor de antivirus en lugar de tener que avisar a un montón de
empresas con las que seguramente no tiene ninguna relación.
Ahora bien, si ya estabais avisados (antes de ahora) creo que también os
toca a vosotros ayudar a regularizar la situación, sin que tengan que ser
los usuarios quienes caigan 'dentro de ella'.
Regularizarla, bien 'convenciendo' a las empresas AV que detectan código
malicioso en algunos archivos vuestros para que modifiquen sus firmas; o
bien modificando vuestros archivos que contienen 'código en crudo',
cifrándolos.
Los más interesados en resolver la situación tenéis que ser vosotros
--Panda-- y vuestros usuarios, por supuesto. Ten en cuenta
que, con mayor frecuencia, es normal disponer de un segundo antivirus
(no-residente) para completar/complementar análisis.
¿Te imaginas esta misma situación con la opción de eliminar archivos
infectados/sospechosos en manos del segundo antivirus?
saludos
c.b.
Fernando de la Cuadra
> Me parece más sencillo, para un presunto usuario de Panda, que avise a su
> proveedor de antivirus en lugar de tener que avisar a un montón de
> empresas con las que seguramente no tiene ninguna relación.
Nosotros mismos detectamos muchos de estos errores, y contactamos con los
otros fabricantes, al igual que otras veces ellos contactan con nosotros. Y
no solo entre fabricantes de antivirus, sino de cualquier tipo de software.
> ¿Te imaginas esta misma situación con la opción de eliminar archivos
> infectados/sospechosos en manos del segundo antivirus?
No, no me lo imagino, directamente sé que esto pasa. Hace poco han salido
casos similares, pero no creo que el problema provenga del fabricante
detectado con un falso positivo, sino del que tiene un sistema de detección
poco depurado, con una firma no lo suficientemente depurada como para
evitarlo.
Insisto, en Panda Software comprobamos estas situaciones para que, en la
parte que nos toca, no producir falsos positivos. Supongo (y digo supongo
porque no puedo comprobarlo) que los controles de calidad son igual de
estrictos en Panda Software que en los demás. Estas situaciones no le gustan
a nadie, precisamente por lo que comentas, porque puede producir un problema
serio en los usuarios, que son al final lo que realmente importa.
c.b.
>> ¿Te imaginas esta misma situación con la opción de eliminar archivos
>> infectados/sospechosos en manos del segundo antivirus?
En vuestro descargo he de decir que algunas empresas antivirus estan más
preocupadas poe detectar un falso positivo en archivos vuestros que en
detectar peligros reales para los usuarios (y no voy a citar nombres)
El dia 26/02/2006 envíe un conjunto de muestras (4 en total) a una de las
empresas que siguen reconociendo vuestros archivos como infectados.
Las muestras las recibieron, puesto que tengo su recibido con la misma
fecha del envío.
A fecha de hoy --casi un mes después-- de esas 4 muestras, sólo reconocen
una. Estos son los resultados que ofrece Virus Total:
A)
Scan results
File: 9b15903cedd6fa97980f941602f338df
Date: 03/19/2006 18:51:04 (CET)
----
AntiVir 6.34.0.53/20060319 found [BDS/PackBot.P.1]
Avast 4.6.695.0/20060317 found nothing
AVG 718/20060317 found [BackDoor.Generic2.LEW]
Avira 6.34.0.53/20060319 found [BDS/PackBot.P.1]
BitDefender 7.2/20060319 found [Backdoor.RBot.CLJ]
CAT-QuickHeal 8.00/20060318 found [Backdoor.PackBot.p]
ClamAV devel-20060126/20060319 found nothing
DrWeb 4.33/20060319 found [Win32.HLLW.MyBot.based]
eTrust-InoculateIT 23.71.106/20060319 found [Win32/Petribot.NI!Worm]
eTrust-Vet 12.4.2123/20060317 found [Win32/Petribot!generic]
Ewido 3.5/20060319 found [Backdoor.SdBot.aad]
Fortinet 2.71.0.0/20060319 found [W32/PackBot.P!bdr]
F-Prot 3.16c/20060317 found [security risk named W32/Sdbot.OQL]
Ikarus 0.2.59.0/20060317 found [Backdoor.Win32.PackBot.P]
Kaspersky 4.0.2.24/20060319 found [Backdoor.Win32.PackBot.p]
McAfee 4721/20060317 found [W32/Sdbot.worm.gen.az]
NOD32v2 1.1450/20060318 found [IRC/SdBot]
Norman 5.70.10/20060317 found [W32/SDBot.ZCB]
Panda 9.0.0.4/20060319 found [W32/IRCBot.TT.worm]
Sophos 4.03.0/20060319 found [W32/Tilebot-DO]
Symantec 8.0/20060319 found [W32.Spybot.Worm]
TheHacker 5.9.5.115/20060317 found [Backdoor/PackBot.p]
UNA 1.83/20060316 found [Backdoor.PackBot]
VBA32 3.10.5/20060319 found [Win32.HLLW.MyBot]
B)
Scan results
File: 7fe4619881c89f54e7dd4655fcfdd3b8
Date: 03/19/2006 18:50:03 (CET)
----
AntiVir 6.34.0.53/20060319 found [BDS/PackBot.S]
Avast 4.6.695.0/20060317 found nothing
AVG 718/20060317 found [BackDoor.Generic2.LEV]
Avira 6.34.0.53/20060319 found [BDS/PackBot.S]
BitDefender 7.2/20060319 found [Backdoor.RBot.CLJ]
CAT-QuickHeal 8.00/20060318 found nothing
ClamAV devel-20060126/20060319 found nothing
DrWeb 4.33/20060319 found [Win32.HLLW.MyBot.based]
eTrust-InoculateIT 23.71.106/20060319 found [Win32/Petribot.OD!Worm]
eTrust-Vet 12.4.2123/20060317 found [Win32/Petribot!generic]
Ewido 3.5/20060319 found [Backdoor.SdBot.aad]
Fortinet 2.71.0.0/20060319 found [W32/PackBot.S!bdr]
F-Prot 3.16c/20060317 found [security risk named W32/Sdbot.OQK]
Ikarus 0.2.59.0/20060317 found [Backdoor.Win32.PackBot.S]
Kaspersky 4.0.2.24/20060319 found [Backdoor.Win32.PackBot.s]
McAfee 4721/20060317 found [W32/Sdbot.worm.gen.az]
NOD32v2 1.1450/20060318 found [IRC/SdBot]
Norman 5.70.10/20060317 found [W32/SDBot.ZHO]
Panda 9.0.0.4/20060319 found [W32/Sdbot.GPH.worm]
Sophos 4.03.0/20060319 found nothing
Symantec 8.0/20060319 found nothing
TheHacker 5.9.5.115/20060317 found [Backdoor/PackBot.s]
UNA 1.83/20060316 found [Backdoor.PackBot]
VBA32 3.10.5/20060319 found [Win32.HLLW.MyBot]
C)
Scan results
File: b9fac884e4bfa4197133c251ceebb060
Date: 03/19/2006 18:52:00 (CET)
----
AntiVir 6.34.0.53/20060319 found [Worm/SdBot.anj]
Avast 4.6.695.0/20060317 found nothing
AVG 718/20060317 found [IRC/BackDoor.SdBot.YEP]
Avira 6.34.0.53/20060319 found [Worm/SdBot.anj]
BitDefender 7.2/20060319 found [Backdoor.RBot.CLJ]
CAT-QuickHeal 8.00/20060318 found [Backdoor.SdBot.anj]
ClamAV devel-20060126/20060319 found nothing
DrWeb 4.33/20060319 found [Win32.HLLW.MyBot.based]
eTrust-InoculateIT 23.71.106/20060319 found nothing
eTrust-Vet 12.4.2123/20060317 found [Win32/Petribot!generic]
Ewido 3.5/20060319 found [Backdoor.SdBot.aad]
Fortinet 2.71.0.0/20060319 found [W32/SDBot.ANJ!bdr]
F-Prot 3.16c/20060317 found [security risk named W32/Sdbot.OQN]
Ikarus 0.2.59.0/20060317 found nothing
Kaspersky 4.0.2.24/20060319 found [Backdoor.Win32.SdBot.anj]
McAfee 4721/20060317 found [W32/Sdbot.worm.gen.az]
NOD32v2 1.1450/20060318 found [IRC/SdBot]
Norman 5.70.10/20060317 found [W32/SDBot.ZHP]
Panda 9.0.0.4/20060319 found [W32/Aimbot.AD.worm]
Sophos 4.03.0/20060319 found nothing
Symantec 8.0/20060319 found [W32.Spybot.Worm]
TheHacker 5.9.5.115/20060317 found [Backdoor/SdBot.anj]
UNA 1.83/20060316 found [Backdoor.SdBot]
VBA32 3.10.5/20060319 found nothing
D)
Scan results
File: e6a3faee8a0a64a0e291ea72e7fc30e4
Date: 03/19/2006 18:51:52 (CET)
----
AntiVir 6.34.0.53/20060319 found [Worm/SdBot.ann]
Avast 4.6.695.0/20060317 found nothing
AVG 718/20060317 found [IRC/BackDoor.SdBot.YEQ]
Avira 6.34.0.53/20060319 found [Worm/SdBot.ann]
BitDefender 7.2/20060319 found [Backdoor.RBot.CLJ]
CAT-QuickHeal 8.00/20060318 found [Backdoor.SdBot.ann]
ClamAV devel-20060126/20060319 found nothing
DrWeb 4.33/20060319 found [Win32.HLLW.MyBot]
eTrust-InoculateIT 23.71.106/20060319 found [Win32/Petribot.OF!Worm]
eTrust-Vet 12.4.2123/20060317 found [Win32/Petribot!generic]
Ewido 3.5/20060319 found [Backdoor.SdBot.aof]
Fortinet 2.71.0.0/20060319 found [W32/SDBot.ANN!bdr]
F-Prot 3.16c/20060317 found [security risk named W32/Sdbot.OQQ]
Ikarus 0.2.59.0/20060317 found [Backdoor.Win32.SdBot.ANN]
Kaspersky 4.0.2.24/20060319 found [Backdoor.Win32.SdBot.aof]
McAfee 4721/20060317 found [W32/Sdbot.worm.gen.az]
NOD32v2 1.1450/20060318 found [IRC/SdBot]
Norman 5.70.10/20060317 found [W32/SDBot.ZHQ]
Panda 9.0.0.4/20060319 found [W32/SdBot.GPJ.worm]
Sophos 4.03.0/20060319 found nothing
Symantec 8.0/20060319 found [W32.Spybot.Worm]
TheHacker 5.9.5.115/20060317 found [Backdoor/SdBot.ann]
UNA 1.83/20060316 found [Backdoor.SdBot]
VBA32 3.10.5/20060319 found [Backdoor.Win32.SdBot.ann]
_______________________________________________
VirusTotal is a free service offered by Hispasec Sistemas.
There are no guarantees about the availability and continuity of this
service. Do not reply to this message. It has been generated by an
automatic address that will not handle any reply. Although the detection
rate afforded by the use of multiple antivirus engines is far superior to
that offered by just one product, these results DO NOT guarantee the
harmlessness of a file. Currently, there is not any solution that offers
a 100% effectiveness rate for detecting viruses and malware.
_______________________________________________
Servidor Antivirus HispaSec Sistemas
(c) Hispasec Sistemas, 1998-2005
http://www.hispasec.com
*****************************************************************
Ni que decir tiene que no les he vuelto a enviar mas muestras.
Quien no sabe distinguir el potencial peligro que para un usuario
tiene detectar un falso positivo y no detectar un backdoor....
Best regards
c.b.