Recebemos hoje um novo report sobre um possível vírus no Winrar. Logo de cara pensamos ser um falso-positivo pois o Winrar está ai há muitos anos e a Rarlab é uma empresa confiável. Anlisei os links de download, todos apontavam para a própria Rarlab, então já realizei o teste imaginando o desfecho.Norton Internet SecurityTodos arquivos passaram fácil, veja: Estatísticas da verificação: Total de riscos de segurança detectados: 0 Ameaças resolvidas:
Agora vou analisar os arquivos um por vez wrar362pt.exe 1.056.305 bytesMD5: 66d92fdf00525a59b716e64f922beac8Negativo para Avast 4.8.1195.0, AVG 8.0.0.156, BitDefender 7.2, Kaspersky 7.0.0.125, McAfee 5351, Microsoft 1.3704, NOD32v2 3317, Norman 5.80.02, Panda 9.0.0.4 e TrendMicro 8.700.0.1004, todos atualizados há pelo menos 48 horas. Só o ClamAV 0.93.1 encontrou o PUA.IRC-Client.mIRC-37 rarx371.exe 663.031 bytesMD5: 79781e0b8c6ec3afbb0dd0db992475ec Negativo para todos eles: Avast 4.8.1195.0, AVG 8.0.0.156, BitDefender 7.2, ClamAV 0.93.1, Kaspersky 7.0.0.125, McAfee 5351, Microsoft 1.3704, NOD32v2 3317, Norman 5.80.02, Panda 9.0.0.4 e TrendMicro 8.700.0.1004, todos atualizados há pelo menos 48 horas. rarx38b3.exe 668.223 bytesMD5: 673ae2eec48e85e9b7080e8cc4609c56 Também negativo para todos eles: Avast 4.8.1195.0, AVG 8.0.0.156, BitDefender 7.2, ClamAV 0.93.1, Kaspersky 7.0.0.125, McAfee 5351, Microsoft 1.3704, NOD32v2 3317, Norman 5.80.02, Panda 9.0.0.4 e TrendMicro 8.700.0.1004, todos atualizados há pelo menos 48 horas. wrar38b3.exe 1.233.972 bytesMD5: 32272b075d436e4e4b8660d43ebdcda5 Também negativo pra todos eles, apenas um positivo do F-Secure 7.60.13501.0 para W32/Perfloger.o!Gemini wrar371.exe 1.206.366 bytesMD5: 1729afff0793995df807827ffdbcbdd3 Também negativo pra todos eles, apenas um positivo do F-Secure 7.60.13501.0 para W32/Perfloger.o!Gemini wrar371.exe 2.915.697 bytesMD5: b0af7d1dbd596e6cb8d2b448cb2566d6Também negativo pra todos eles, apenas um positivo do F-Secure 7.60.13501.0 para W32/Perfloger.o!Gemini wrar38b2br.exe 2.939.741 bytesMD5: 2671c34b019569181a82ba7f039c0227 Esse deu um pouco mais de trabalho, ele passa batido, sem problemas pelo F-Secure, mas em compensação retornou dois problemas diferentes em dois antivírus diferentes. Negativo para Avast 4.8.1195.0, BitDefender 7.2, ClamAV 0.93.1, eSafe 7.0.17.0, Kaspersky 7.0.0.125 , McAfee 5349, Microsoft 1.3704, NOD32v2 3310, Norman 5.80.02, Panda 9.0.0.4 e TrendMicro 8.700.0.1004. Positivo para AVG 8.0.0.130 vírus Clicker.OWB e segundo outros reports, o Ikarus T3.1.1.34.0 acha um tal de Trojan-Clicker.Win32.Agent.bkd. PesquisaPesquisei sobre os problemas, parece que historicamente o Winrar não se dá bem com os antivírus. Até a atualização do Norton de 08/01/07, ele achava um malware chamado Infostealer.Uprungam.B, muito provavelmente outro falso-positivo que depois de uns dias sumiu. O VBA32 também encontrava problemas no Winrar 3.51, mas parece que deram uma arrumada. Em relação a isso, confio mais na Rarlab do que no antivírus VBA32. Parece que o problema está focado nas bibliotecas que criam arquivos auto-extraíveis. O Norton 2004 já chegou a identificar todos arquivos executáveis auto-extraíveis criados pelo Winrar como vírus PWSTEAL.BANPAES, o que não fez mais depois de alguma atualização nos DATs. ResultadoÉ extremamente provável que todos reports são falsos-positivos. Primeiro porque historicamente o Winrar já foi confundido algumas vezes e depois os antivírus corrigiram suas atualizações de assinaturas, segundo que não existe um consenso entre os antivírus, poucos retornam algo, e não retornam nada consistente. Eu uso o Winrar há anos (se bobear há décadas) e nunca tive problemas. Mas, se você não quiser que seu antivírus fique apitando toda hora, é livre para escolher outro.
|
Queromeu.com - Meu negócio é .com e o seu?O domínio é seu endereço na Internet. Procure seu domínio .COM agora mesmo. |
Mais seções