PUA.Win32.Packer warum wird so etwas als ("false") positiv gemeldet?



  • Bei manchen Dateien melden diverse Antivirensoftware "file xy infected by PUA.Win32.Packer"

    Andere Antivirensoftware melden bei der gleichen Datei gar nichts.
    In den meisten Fällen handelt es sich aber um eine false Positiv.

    Frage, wie kommt es dazu und warum verbessert man nicht die Erkennungsrate?



  • Desweiteren steht PUA für Potentially Unwanted Applications.

    Frage:
    Wieso sind das potentiell ungewollte Anwendungen?
    Was zeichnet diese Art von Anwendungen aus?

    Ich würde erwarten, dass eine Antivirensoftware alle Anwendungen schluckt, ganz egal ob das nun ein Zip Archiv oder eine Assemblerdatei ist.

    Was triggered also dieses PUA?



  • Ja, das Problem kenne ich, hatte ich schon einige Male mit verschiedenen AV-Herstellern.
    Wenn du in der Virensignatur was von PUA oder Gen liest, handelt es sich meistens um Generische Erkennungsroutinen. D.h. anhand bestimmte Code-Schnipsel, PE-Importe und hastenichgesehen will das AV-Programm feststellen, ob es sich um einen ggf. noch Unbekannten Virus handelt.
    Sowas wie Packer und co. findet sich dabei fast immer als False Positive. Ich hatte es mal in der Debug-Variante einer selbst kompilierten SFML, mal bei meinem kleinen OS-Projekt, bevor ich zu PrettyOS gegangen bin, weil MSVC einen Multiboot-Kernel in eine PE gepackt hat und auch sonst schlug Avast aufm Laptop so oft mit aehnlichen False Positives zu, bis ich mein Projekt-Verzeichnis komplett von der Virensuche ausnhemen musste.

    Aber komisch, wenn ich wirklich mal bestimmte Virus-Techniken spassenshalber selber implementeiert und ausprobiert hab, habens die Heuristiken der AV-Programme niemals erkannt...


Anmelden zum Antworten