a-squared: Backdoor.Win32.Ceckno.cap!A2 ein Fehlalarm

Question

a-squared Malware-Info, der Testsieger April 2009 wird von emsisoft beworben.

Nach dem letzten Update wurde mir nach einem Detail-Scan mit a-squared angezeigt, daß im Ordner
c.\windows\$NtServicePackUninstall$
die Datei
cliconfg.exe vom 18.1.2001
den gefährlichen Backdoor-Trojaner "Backdoor.Win32.Ceckno.cap!A2"
enthalten würde
www.emsisoft.de/de/malware/?Backdoor.Win32.Ceckno.cap!A2

Daraufhin habe ich das gefährliche Teil upgeloadet nach
http://www.virustotal.com/de
Dort wurde mir nun angezeigt, daß nur 1 von 40 Antivirenprogrammen, nämlich a-squared dort den "Backdoor.Win32.Ceckno.cap!A2" erkannt hätte.

Frage: Fehlalarm, oder ist nur a-squared so gut, daß es als einziges von 40 Programmen den Trojaner erkennt???


Löschen den cliconfg.exe oder ignorieren, weil Fehlalarm?
Zusatzfrage: "c:\windows\$NtServicePackUninstall$" brauche ich das überhaupt bei Windows XP Prof und ohne Netzwerk?


Danke im Voraus und Gruß, Benny

Answer 1

Habe gerade einen Beitrag dazu in einem Forum von a-squared gefunden, werde aber leider ganz schlau daraus (englisch Sprache, schwere Sprache):

"There are no detections for all instances of the said file here – neither SP3 nor SP2 versions but there could be differences in XP editions.

Anyway, the legit cliconfg.exe belongs to Microsoft - SQL Client Configuration Utility.

Since communication and protocol settings are involved in the code it could happen that the detection is FP,
at the same time file under the same name was detected in the past and known as being added by the OPASERV.T WORM! Basically it can be faked easily under this or other names.

That is correct that you submitted the file(s)

There were updates since you posted. At least one of them was for a2 signatures.
Update and rescan"



also: noch mal updaten, verstehe ich ja, aber was ist mit diesem WORM?

Answer 2

Der Master of Disaster, Blaster

war ein WORM:-))




[sub]W32.Blaster.Worm - Wurm[/sub]

Answer 3

@xmax: dank dir für die Übersetzung.

Wenn ich das jetzt richtig verstanden, wurde diese legale cliconfg.exe verwechselt mit dem Wurm mit dem schönen Namen "Opaserv" ?!?

Wahrscheinlich steh ich da total auf der Leitung, aber ich habe leider immer noch gecheckt was denn nun ein "FP" ist ?

von a-squared habe ich jetzt auch die Mitteilung bekommen:
"The latest update of a2 signatures fixed the FP."

"FP" = ?


Gruß, Benny

Answer 4

FP = false positive = Fehlalarm :-)

Answer 5

Fehlalarm !
Super, das wollte ich wissen, danke dir!

Answer 6

emm das sollte ich auch noch schreiben, aus deiner Frage war mir nicht klar was du willst, denn Du hast nur den "WORM" erwähnt, hervorgehoben;-))