Ist diese Datei ein 'False Positiv' - in Wirklichkeit kein Virus?

#1 Hallo,

es gibt ein Addon für das Spiel Starcraft Broodwar, dass von einem Drittanbieter stammt. Wenn ich die WinRAR Datei runterlade, dann springt sofort mein Kaspersky an und meldet den Virus/Trojaner

Packed.Win32.CryptExe

bzw. bei Jotti Malwarescan sagen einige Scanner es sei ein Worm/SdBot.akv, Trojan.Packed.Cryptexe bzw. W32/CryptExe.

Nun beteuert der Ersteller des Addons, es handelt sich 100% um keinen Virus. Er hätte bei der Erstellung der Software aufgrund diverser Vorteile nur einen Packer genutzt, den Virenschreiber gerne auch nutzen. Dieser Packer verschlüsselt die Dateien so, dass sie für viele Virenscanner unsichtbar bleiben. (Mit Packer meint er anscheinend nicht WinRAR oder WinZIP, sondern das Programm, dass die Software zusätzlich zu dem Spiel in den Speicher lädt). Die Signatur dieses Packers würde Kaspersky endecken und die Dateien als Virusmodifikation einstufen.

Die Begründung klingt einigermaßen plausibel. Wie kann ich nun feststellen, ob es sich doch nicht um einen Virus handelt - trotz der Virenscannermeldungen? Bzw. noch besser wäre, wenn ein Experte sagen könnte, ob er es persönlich für einen Virus hält.

Hier ist die Datei: (!ACHTUNG EVTL. VIRENVERSEUCHT!)
http://www.permaonline.com/uploads/Oblivion1.0.1.rar

bzw. exakter handelt es sich im WinRAR um die Dateien: Oblivion.dll und LiTRiM.exe

Danke!

#2 Drittanbieter
wer garantiert dir, dass es nicht ein Rootkit ist, mit dem man Zugriff auf deinen Rechner hat ?
ich wuerde die Finger davon lassen, sicher ist sicher....
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Das habe ich mir auch gedacht. Aber dieses Addon nutzen viele Leute und andere Nutzer mit Programmierkenntnissen sagen, dass die Aussage des Drittanbieters stimmt.
Ich trau dem Braten aber nicht.

Gibt's jemanden evtl. der eine weitergehende Analysemöglichkeit hat, oder mir Tipps dafür geben kann?

#4 Frage mich, wieso er wissentlich in Kauf nimmt, dass sein kleines Programm Virenscanner auf den Plan ruft. Versuche doch in Erfahrung zu bringen, welchen Packer er genau eingesetzt hat.

//Edit: Packer heißt vermutlich "EXEcryptor" - kenne aber momentan keine Möglichkeit das zu "decrypten".
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Aha Joschi, danke!

Das ist doch schon mal eine Aussage mit der ich was anfangen kann.

1.) Hast Du durch Analyse der Datei herausgefunden, dass es sich um EXEcryptor handelt oder frei gemutmaßt?
2.) Wird EXEcryptor generell von Scanner wie Kaspersky als Virus eingestuft?

Ich versuche mittlerweile mal die Datei zu decrypten. Was dann rauskommt müsste dann demnach virenfrei sein. Richtig?

Zitat

joschi postete
Frage mich, wieso er wissentlich in Kauf nimmt, dass sein kleines Programm Virenscanner auf den Plan ruft. ...

Das ist ein kleiner Wurschtler. Der nimmt Programme, die hat oder für gut befindet. Er hat mir gesagt, dass er beim nächsten Update nen anderen Packer nutzen wird ... aber dieses Update wird auf sich warten lassen.

Edit: "...EXECryptor has powerful anticrack, antidebug, antitrace and import code protection features for stop the latest cracking software..."
Der will anscheinend nicht, dass sein Code geklaut wird. Das wird schwer die Datei zu decrypten

Edit 2: Ich machs mal andersrum. Ich mach mal aus ner garantiert Virenfreien Datei mittels ExeCryptor eine exe oder ne dll und guck mal was Kaspersky dazu sagt. Edit3: Ne, doch nicht. Ist was für Programmier. Will was mit Visual Basic etc. installieren und ich will mir meinen Rechner nicht mit Programmiererkram vollmüllen

#6 Sorry fürs Doubleposting. Aber der vorherige Beitrag ist schon ein bisschen viel editiert worden.

Und wollte bloss abschließend das Geheimnis lüften. Nachdem der Ersteller der Datei einen anderen Packer benutzt hat, stuft Kaspersky die Datei als clean ein.
Also war die Warnung tatsächlich eine Falschmeldung von Kaspersky