Virus im offiziellen Firefox Installer?

[Megapixel]

Hallo,

nach einer Windows-Neuinstallation habe ich gestern auch wieder Firefox installiert.
Oft lade ich Downloads bei VirusTotal hoch um mich nochmal etwas abzusichern wegen Viren etc.

Auch den Installer von Firefox habe ich hochgeladen (leider diesmal erst nach Installation, habe ich etwas verpeilt) und VirusTotal meldete mir bei einer Engine den Fund "Win.MxResIcn.Heur.Gen".

Hier ist der Befund: https://www.virustotal.com/gui/file...fa84b1e7280fbc945395ff30bd2917808af/detection
Das ist der Installer von der originalen Mozilla Website, auch der Installer hier von Computerbase ist betroffen (selber Hash).
Ich schätze mal es handelt sich um einen False-positive, sonst wäre der Aufschrei bei einer solch oft runtergeladenen Software sicherlich groß
Trotzdem wollte ich mal nachfragen, was ihr davon haltet, bin da ja immer etwas paranoid. Möchte jetzt ungern wieder alles neu aufsetzen

 

[Sithys]

https://bugzilla.mozilla.org/show_bug.cgi?id=1468067

Ohne mich damit auseinandergesetzt zu haben und ja, das Thema ist schon 2 Jahre alt, würde ich jetzt ganz pauschal auch mal von einem false positive ausgehen.

 

[Ost-Ösi]

Da fällt mir der alte Spruch wieder ein:

"Wer viel mißt, mißt Mist".

 

[Falc410]

Ich habe das neulich schon einem Thread geschrieben. So Dinge wie der Firefox Installer sind i.d.R. auf einer Whitelist der Virenscanner, ansonsten würden die sofort anschlagen (zumindest die Heuristiken). Einer von 72 ist also gar kein Problem, der hat halt seine Whitelist nicht aktualisiert (kommen ja täglich neue Builds von FF). Wenn mehr als 50% der Virenscanner anschlagen, dann kann man sich Gedanken machen ob es sich um eine Schadsoftware handelt oder nicht.

 

[Megapixel]

@RedGunPanda Ja, das hatte ich auch schon gesehen. Scheint dann wohl ein generelles "Problem" beim Firefox zu sein.

@Falc410 Zumindest der Installer wird ja zumindest schon seit ca. 2 Wochen in dieser Form angeboten (First Submission). Dann wäre das sicherlich mittlerweile aufgefallen.

Hatte auch hier noch mal was gefunden: https://www.reddit.com/r/privacytoolsIO/comments/gptqzf/windows10_firefox_malware_check/
Schon fast ein Monat her und anscheinend ist bei ihm wohl auch schon bei einem ganz alten Installer genau dieser gleiche Fund aufgetaucht.
Komisch nur, dass die eine Engine dann nicht mal die Whitelist aktualisiert, sonst wird es ja immer Leute geben, die das Thema wieder aufgreifen bei einer solch bekannten Software.

 

[BeBur]

Komisch nur, dass die eine Engine dann nicht mal die Whitelist aktualisiert, sonst wird es ja immer Leute geben, die das Thema wieder aufgreifen bei einer solch bekannten Software.

Daran ist nichts ungewöhnliches wenn man News zu der pseudo-Software Branche Schlangenöl "Antivirus" verfolgt. Die haben die Einstellung "wir machen hier bullshit lauft uns hinterher, denn der User wird im Zweifel nicht uns sondern euch die Schuld geben". Würde mich nicht einmal wundern wenn das Whitelisting richtig teuer ist.

 

[Falc410]

@Falc410 Zumindest der Installer wird ja zumindest schon seit ca. 2 Wochen in dieser Form angeboten (First Submission). Dann wäre das sicherlich mittlerweile aufgefallen.
Wem soll das auffallen? Da springt von einem einzigen unbedeutenten Virenscanner die Heuristik an? Du kannst egal welches Executable bei Virustotal hochladen, du wirst immer einen Virenscanner haben der da drauf anspringt - ausser die Datei steht eben in einer Ausnahmeliste.

 

[chrigu]

Merke... wenn bei virustotal ein roter Treffer ist und alle anderen grün, heisst das, das einer dieser Engines nicht aktuell ist oder die Ausnahmen nur sporadisch in dessen Datenbank eingepflegt wird. Wenn mehr rote Treffer als grüne häckchen sind, dann ist die Wahrscheinlichkeit gross, das die Datei infiziert ist.

 

[Zappi]

Merke... wenn bei virustotal ein roter Treffer ist und alle anderen grün, heisst das, das einer dieser Engines nicht aktuell ist oder die Ausnahmen nur sporadisch in dessen Datenbank eingepflegt wird. .

Oder das außer dieser einen engine kein anderes anti-virus eine entsprechende Signatur in der Datenbank hat weil es sich hierbei um unbekannte malware handelt.



@TE
Das die Erkennung beim Firefox Blödsinn ist, sollte ja eh klar sein

 

[Der Wagen]

about:telemetry

https://www.privacy-handbuch.de/handbuch_21n.htm

 

[Falc410]

Oder das außer dieser einen engine kein anderes anti-virus eine entsprechende Signatur in der Datenbank hat weil es sich hierbei um unbekannte malware handelt.

Unbekannte Malware und entsprechende Signatur sind ja wohl ein Widerspruch in Sich Die meisten Virenscanner arbeiten mit Heuristiken und denken etwas sieht verdächtig aus. Steht ja in diesem Fall sogar dabei. Das heißt noch lange nicht, dass es ein Virus ist.

 

[Zappi]

Unbekannte Malware und entsprechende Signatur sind ja wohl ein Widerspruch in Sich Die meisten Virenscanner arbeiten mit Heuristiken und denken etwas sieht verdächtig aus. Steht ja in diesem Fall sogar dabei. Das heißt noch lange nicht, dass es ein Virus ist.

Du hast das komplett falsch verstanden. Ich wollte damit sagen das wenn eine engine einen Treffer anzeigt aber alle anderen nicht, das es nicht automatisch bedeutet das es sich hierbei um einen fehlalarm handelt. Es kann nämlich genauso gut sein das alle anderen Viren Scanner keine entsprechende Signatur in der Datenbank haben bis auf die eine einzige engine. Sich darauf also zu verlassen das es sich bei einer einzigen engine um einen fehlalarm handelt weil alle anderen nichts anzeigen ist falsch. Denn letztendlich ist es doch meist sowieso der fall das alle antiviren Programme eine entsprechende Signatur brauchen, selbst heuristik und/oder Behavior blocker hat entsprechende Signaturen die man braucht um eben bestimmte Verhaltensmuster einer malware zu erkennen die noch nicht in der klassischen Signaturen Datenbank eingepflegt wurde.


Und nein es ist kein Widerspruch in sich.

Du sagst: "Unbekannte Malware und entsprechende Signatur sind ja wohl ein Widerspruch in Sich"

Wenn keine Signatur vorhanden ist, dann ist es indem fall für das antiviren Programm auch unbekannte malware. Mehr habe ich nicht gesagt

 

[Falc410]

Wenn ich eine Signatur habe, dann handelt es sich um eine bekannte Malware. Davon abgesehen sind Signaturen für neue Malware sehr schnell in den Datenbanken der großen Hersteller zu finden. Wenn ein kleiner auslöst und sonst keiner, ist es sehr wahrscheinlich ein Fehlalarm.

 

[Zappi]

Ich schreibe doch klar und deutlich das wenn ein anti-virus keine Signatur hat das es sich dann um eine unbekannte malware handelt.

Wenn also Kaspersky anschlägt bei Virus total aber alle anderen nicht bedeutet das

1. Nicht das es sich dabei um einen fehl alarm Handeln muss

2. Kann es nämlich genauso sein das alle bis auf Kaspersky einfach keine Signatur in der Datenbank haben was wiederum bedeutet das die malware für alle anderen engine unbekannt ist.

Das mit Firefox hier in dem Fall ist natürlich ein fehlalarm


Nur um mal ein Beispiel zu nennen.

Was ist daran so schwer zu verstehen? Mehr habe ich doch garnicht gesagt

 

[chrigu]

Da jeder virenscannerhersteller versucht, besser als der andere und vor allem schneller in der detektion von neuer malware zu sein, denke ich nicht das deine Interpretation des virustotal-Bericht ( einer entdeckt die malware, alle anderen nicht) unter normalen Umständen möglich ist.

 

[Schlaflos]

Das ist ein false positiv und muss auch nicht weiter sich mit beschäftigt werden.