Pages

Wednesday, February 13, 2008

BitDefender Antivirus software false positive Packer.XComp.A

Sehr geehrte Blog Leser

Bitdefender Antivirus Signaturen ab den 13. Februar 2008 zeigen die mit dem Exe Packer: XComp/XPack freeware PE32-imagefile packer/rebuilder von JoKo, Version 0.98 sowie 0.97 kompremierten Dateien als Virus Packer.XComp.A an.
Info: http://www.soft-lab.de/joko/ExePack.htm

Dies betrifft nicht nur einige gepackten Dateien hier sondern ganze Software Portale sowie einige Freeware Entwickler die ihre Programme damit gepackt haben um den sozusagenden Monopol auf dem Freeware Sektor "UPX" zu umgehen oder den Packer XComp ganz einfach als eine Alternative verwenden, aber auch bei einigen Dateien eine bessere Leistung mit XComp bringen.

Weshalb ein Virus Namens Packer.XComp.A von Bitdefender der Firma Softwin aus Romaenien ins Leben gerufen wird ist unklar jedoch vermutlich an dessen Entwickler Position an schlichtweg mangelndes Wissen wie die mit XComp/XPack gepackten Programme entpackt werden koennen oder an einer fehlenden Scan engine die das zum derzeitigen Zeitpunkt verarbeiten kann.

Falls Bitdefender als Antivirus Loesung eingesetzt wird und nunmehr mit den updates jene false positive Meldung zeigt, bietet sich folgende Loesung an:

- AV wechseln was unumgaenglich ist wenn ganze Verzeichnisse oder sehr viele Dateien mit XComp gepackt wurden, da Bitdefender keine Filter Einstellungen fuer die Erkennung einer einzelner Virus Signature anbietet mangels Einstellungs Moeglichkeiten. Jedoch fast alle anderen AntiVirus Loesungen insbesondere Symantec Corporate Client/Server bieten dies an.

- Die betroffenen Dateien entpacken mit RL!dePacker von http://ap0x.jezgra.net
einige universal unpacker insbesonder mit upx Leistungmerkmalen koennen eventuell
eine alternative zur RL!dePacker darstellen.

XComp/Xpack setzt keinerlei Software Schutz Mechanismen ein jedoch hat Bitdefender scheinbar mangels einer Scan engine dies als Virus abgezeichnet.

Anzumerken ist das scheinbar Business und Freeware in Rumänien auf ein unerklaerliches Ansehen fuehrt. Insbesondere wenn es sich bei einer Freeware Seite ohne Werbung handelt koennte es den Entwicklern dort zu den Entschluss bringen das es sich dann nur um irgend etwas schadhaftes handeln muss, insbesondere bei Komprimierungs Software.

Wir setzten BitDefender seit ueber 2 Jahren ein und komprimierten saemtlichen Verzeichnissen im Vergleich zu UPX und PECompact mit der bereits mehr als ein Jahr alten Version von XComp/XPack jedoch ist dessen Produkt BitDefender Business Security gestern mit einer Loeschaktion darueber gegangen.


Test Datei BitTorrent.exe upx -d und mit Xcomp gepackt:
bittorrent.exe [568.27 KB]
Ergebniss: http://www.virustotal.com/ro/analisis/d7580b66560471ce5f5aafe7a9ae786d
Ein toles Beispiel upx.exe gepackt mit XComp 265.19 KB
upx.exe false positive packed with Packer.XComp.A

With the question I ask my self about AntiVirus Firms and there Security Products:
Are
the most packers listed for example in ExeInfo PE ver. 0.0.1.8 E - ( 360 sign ) by A.S.L. really virus producer or just flop drag n drop signature from the packers, because some people pack with them viruses together into files, these packers/compressors are as virus idented in them positive Virus Databases just like Packer.XComp.A.

Logical it saves a lot of time to put whole packers by string / signature in AV Database as examine the truth inside the packed files and control new/old packer/compression program(s)mers if it's Freeware but not opensource must and should it be on sourceforge.net hosting or a commercial pack/compressor by AV Companies to match in them concepts ?!??!!!

If this is true, I think, maybe the AV Security systems needs to get reformed not only in following reports by language localized PC Magazines AV vs. AV, false positive % / Price value, Quality of research Labs.
Support/Forum/Phone:...Thanks for the advanced friendly English Language knowledge together with the basic product and computer knowledge, just like from a teaching books by the support- or was it the sales team.
Not by asking the simply Questions but by these kind of difficult Questions where they have no answers
..!

After lot of testing, its incredible, as soon doing in files other signatures, up to all AV's playing crazy and show different results - Such things like Anti Cheat mechanism is not known. You can scare unwonted users if you do just the signature from a virus into files but not the virus by self. A very private kind of protection.

1 comment:

JoKo said...

hallo,

folgende anmerkung: eine am 6.2.2007 kompilierte version von xcomp durchläuft den virenscan bei bitdefender anstandslos...
die versionen underscheiden sich nur in einigen bytes im symbionten (der war da noch etwas grösser).
das ist nicht wirklich beruhigend.

Post a Comment