{"id":260683,"date":"2021-12-20T00:14:00","date_gmt":"2021-12-19T23:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260683"},"modified":"2021-12-24T02:12:49","modified_gmt":"2021-12-24T01:12:49","slug":"cpuid-enumerator-and-decoder-virenfrei-aber-von-virustotal-geflaggt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/20\/cpuid-enumerator-and-decoder-virenfrei-aber-von-virustotal-geflaggt\/","title":{"rendered":"CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/12\/20\/cpuid-enumerator-and-decoder-virus-free-but-flagged-by-virustotal\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Heute k\u00f6nnen wir das T\u00fcrchen mit der Nummer 20 im Sicherheits-Adventskalender \u00f6ffnen. Dahinter verbirgt sich heute mal ein Beispiel, wie Virenscanner ein Softwaretool f\u00e4lschlich als gef\u00e4hrlich einstufen und einen falschen Alarm ausl\u00f6sen. Stefan Kanthak hat mir dies an Hand seines Tools <em>CPUID Enumerator and Decoder<\/em> demonstriert.<\/p>\n<p><!--more--><\/p>\n<h2><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/02861a73eede472bb3765429977486ed\" alt=\"\" width=\"1\" height=\"1\" \/>CPUID Enumerator and Decoder<\/h2>\n<p>Der <em>CPUID Enumerator and Decoder <\/em>ist ein Befehlszeilen-Alias-Konsolenprogramm f\u00fcr Microsoft\u00ae Windows\u00ae NT und neuer, der auf <a href=\"https:\/\/skanthak.homepage.t-online.de\/cpuid.html\" target=\"_blank\" rel=\"noopener\">dieser Webseite beschrieben<\/a> wird. Das Programm <em>CPUPRINT.EXE <\/em>dekodiert und druckt die aus den CPUID- und XGETBV-Anweisungen des Prozessors gewonnenen Informationen. Damit erh\u00e4lt der Nutzer einen \u00dcberblick, welche Features eine CPU erstellt:<\/p>\n<ul>\n<li>IBRS, STIBP, IBPB, L1D_FLUSH und SSBD,<\/li>\n<li>sowie das Vorhandensein der modellspezifischen Register IA32_ARCH_CAPABILITIES und IA32_FLUSH_CMD<\/li>\n<\/ul>\n<p>Letztere wurden von AMD und Intel mit Firmware alias Microcode-Updates eingef\u00fchrt, um die Schwachstellen<\/p>\n<ul>\n<li>CVE-2017-5715 alias Branch Target Injection,<\/li>\n<li>CVE-2017-5753 alias Bounds Check Bypass,<\/li>\n<li>CVE-2017-5754 alias Rogue Data Cache Load,<\/li>\n<li>CVE-2018-3639 alias Speculative Store Bypass,<\/li>\n<li>CVE-2018-3640 alias Rogue System Register Read,<\/li>\n<li>CVE-2018-3693 alias Bounds Check Bypass Store, und C<\/li>\n<li>VE-2018-3615, CVE-2018-3620 plus CVE-2018-3646 alias L1 Termination Fault, besser bekannt unter ihren Spitznamen Meltdown, Spectre, Spectre-NG und Foreshadow zu fixen.<\/li>\n<\/ul>\n<p>Au\u00dferdem werden die Alias-Merkmale f\u00fcr Prozessorf\u00e4higkeiten PCID, das 2010 in der ersten Generation von Intel Core-Prozessoren mit Westmere-Mikroarchitektur eingef\u00fchrt wurde, und INVPCID, das 2013 in der vierten Generation von Intel Core-Prozessoren mit Haswell-Mikroarchitektur eingef\u00fchrt wurde, aufgez\u00e4hlt. Also ein sehr sinnvolles Tool, wenn man sich \u00fcber die F\u00e4higkeiten einer CPU informieren m\u00f6chte.<\/p>\n<h2>Garantiert virenfrei, aber Scanner schlagen Alarm<\/h2>\n<p>Stefan Kanthak schrieb mir die Tage in einer Mail: Meinen <a href=\"https:\/\/skanthak.homepage.t-online.de\/cpuid.html\" target=\"_blank\" rel=\"noopener\">CPUID-Decoder<\/a> baue ich garantiert virenfrei mit dem Microsoft C-Compiler aus dem Quellcode\u00a0 und meiner <a href=\"https:\/\/skanthak.homepage.t-online.de\/nomsvcrt.html\" target=\"_blank\" rel=\"noopener\">NOMSVCRT.LIB<\/a> (anstelle der MSVCRT) . Es werden dabei die folgenden 4 Varianten erstellt:<\/p>\n<ul>\n<li><a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/CPUPRINT.EXE\" target=\"_blank\" rel=\"noopener\">32-bittig<\/a>, UTF-16 Output<\/li>\n<li><a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/CPUPRINT.COM\" target=\"_blank\" rel=\"noopener\">32-bittig<\/a>, ASCII Output<\/li>\n<li><a href=\"https:\/\/skanthak.homepage.t-online.de\/temp\/CPUPRINT.EXE\" target=\"_blank\" rel=\"noopener\">64-bittig<\/a> , UTF-16 Output<\/li>\n<li><a href=\"https:\/\/skanthak.homepage.t-online.de\/temp\/CPUPRINT.COM\" target=\"_blank\" rel=\"noopener\">64-bittig<\/a>, ASCII Output<\/li>\n<\/ul>\n<p>L\u00e4dt man dann die betreffenden .exe-Dateien auf Virustotal hoch, erh\u00e4lt man einen Weihnachtsbau an \"roten Warnungen\", wie gef\u00e4hrlich die Programme doch seien. Hier die Links:<\/p>\n<ul>\n<li><a href=\"http:\/\/www.virustotal.com\/old-browsers\/file\/50ccb56a4331f6c58049e16bbfb50a53f8cfc782f46e1ec77ddb5320845f4894\" target=\"_blank\" rel=\"noopener\">www.virustotal.com<\/a> Beispiel 1: 34 von 73<\/li>\n<li><a href=\"http:\/\/www.virustotal.com\" target=\"_blank\" rel=\"noopener\">www.virustotal.com<\/a> Beispiel 2: 12 von 70<\/li>\n<li><a href=\"http:\/\/www.virustotal.com\/old-browsers\/file\/f5a4b74c5ddb21f5a47fe4377f2aeb4f4ee4f028bfbe9585092bc5caf3dc5636\" target=\"_blank\" rel=\"noopener\">www.virustotal.com<\/a> Beispiel 3:\u00a0 1 von 70<\/li>\n<li><a href=\"http:\/\/www.virustotal.com\/old-browsers\/file\/6054b2478fd77782369316760a88ae6c8c9db004633d2d6f47b2c421b95c0b77\" target=\"_blank\" rel=\"noopener\">www.virustotal.com<\/a> Beispiel 4:\u00a0 0 von 71<\/li>\n<\/ul>\n<p><img decoding=\"async\" title=\"Virustotal Fehlalarme\" src=\"https:\/\/i.imgur.com\/XjW288k.png\" alt=\"Virustotal Fehlalarme\" \/><br \/>\nVirustotal Fehlalarme<\/p>\n<p>Das Tool wird in den betreffenden Virenscannern untersucht, und diese sprechen auf bestimmte Codefolgen an, die dann als sch\u00e4dlich gemeldet werden.\u00a0Man beachte aber, dass die obigen vier Links im Grunde den gleichen Code, nur als 32 oder 64 Bit und mit UTF-16 oder ASCII-Ausgabe bewerten.<\/p>\n<p>Da alle 4 Programme dieselben Zugriffe auf CPUID-Funktionen ausf\u00fchren, m\u00fcssten sie gleichermassen als sch\u00e4dlich eingestuft werden. Der Unterschied zwischen den ASCII- und UNICODE-Varianten ist jedoch, dass erstere ASCII-Zeichenketten und die ASCII-Funktionen des Win32-API verwenden, letztere UNICODE-Zeichenketten und die UNICODE-Funktionen.<\/p>\n<p>W\u00e4hrend im ersten Link noch 34 von 71 Virenscanner anschlagen, herrscht beim letzten Link eitel Sonnenschein &#8211; kein Virenscanner meckert.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Stefan hat noch zwei weitere Varianten (32-, 64-Bit) gebaut, die keine Decodierung als ASCII oder UNICODE vornehmen. Bei einer Variante schlagen <a href=\"https:\/\/www.virustotal.com\/old-browsers\/file\/a15913d36caf61602fda123920c150481054e6d1f049e9a27f4d268d8f3cc02d\" target=\"_blank\" rel=\"noopener\">5 von 71<\/a> Scanner an, bei der anderen Variante meinen <a href=\"https:\/\/www.virustotal.com\/old-browsers\/file\/98f46c547e0ee0b1b66000c1712d40b517a8d90d4a50c8bee5eb250e2fe33da4\" target=\"_blank\" rel=\"noopener\">0 von 71 Scannern<\/a>, dass die Datei b\u00f6sartig ist.<\/p>\n<p>Ein Beispiel, dass man den Virenscannern von Virustotal (bzw. den dort teilnehmenden Herstellern) nicht trauen sollte &#8211; die sind schlicht in manchen F\u00e4llen ein Sch\u00e4tzinstrument, was irgend etwas anzeigt.<\/p>\n<p><strong>Artikel des Security-Adventskalenders<br \/>\n<\/strong>1. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/01\/microsoft-defender-version-1-353-1874-0-meldet-flschlich-trickbot-emotet\/\">Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a><br \/>\n2. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/02\/windows-10-11-falle-beim-trusted-apps-installer\/\">Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a><br \/>\n3. <a href=\"https:\/\/borncity.com\/blog\/?p=260088\">Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a><br \/>\n4. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/04\/phishing-angriffe-von-staatshackern-ber-neue-rtf-template-injection-technik\/\">Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a><br \/>\n5. <a href=\"https:\/\/borncity.com\/blog\/?p=260082\">BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a><br \/>\n6. <a href=\"https:\/\/borncity.com\/blog\/?p=260208\">Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a><br \/>\n7. <a href=\"https:\/\/borncity.com\/blog\/?p=260242\">Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a><br \/>\n8. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/08\/excel-xll-addins-fr-malware-installation-missbraucht\/\">Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a><br \/>\n9. <a href=\"https:\/\/borncity.com\/blog\/?p=260309\">Hellmann Logistics Opfer eines Cyberangriffs<\/a><br \/>\n10. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/10\/cloud-dienste-ber-usb-over-ethernet-schwachstellen-angreifbar\/\">Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a><br \/>\n11. <a href=\"https:\/\/borncity.com\/blog\/?p=260318\">Malware in Android Apps am Beispiel von GriftHorse<\/a><br \/>\n12. <a href=\"https:\/\/borncity.com\/blog\/?p=260147\">Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a><br \/>\n13. <a href=\"https:\/\/borncity.com\/blog\/?p=260419\">Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a><br \/>\n14. <a href=\"https:\/\/borncity.com\/blog\/?p=260471\">Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a><br \/>\n15. <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/15\/windows-tpm-mem-und-intune-hrden-beim-motherboard-wechsel\/\">Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a><br \/>\n16: <a href=\"https:\/\/borncity.com\/blog\/?p=260591\">H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a><br \/>\n17: <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/17\/insides-zu-irlands-health-service-executive-ransomware-fall-im-mai-2021\/\">Insides zu Irelands Public Healthcare Ransomware-Fall<\/a><br \/>\n18: <a href=\"https:\/\/borncity.com\/blog\/?p=260678\">Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a><br \/>\n19: <a href=\"https:\/\/borncity.com\/blog\/?p=260079\" target=\"_blank\" rel=\"noopener\">Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a><br \/>\n20: <a href=\"https:\/\/borncity.com\/blog\/?p=260683\" target=\"_blank\" rel=\"noopener\">CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a><br \/>\n21: <a href=\"https:\/\/borncity.com\/blog\/?p=260689\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a><br \/>\n22:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260696\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a><br \/>\n23:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260675\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a><br \/>\n24:\u00a0<a href=\"https:\/\/borncity.com\/blog\/?p=260388\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Heute k\u00f6nnen wir das T\u00fcrchen mit der Nummer 20 im Sicherheits-Adventskalender \u00f6ffnen. Dahinter verbirgt sich heute mal ein Beispiel, wie Virenscanner ein Softwaretool f\u00e4lschlich als gef\u00e4hrlich einstufen und einen falschen Alarm ausl\u00f6sen. Stefan Kanthak hat mir dies an Hand seines &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/12\/20\/cpuid-enumerator-and-decoder-virenfrei-aber-von-virustotal-geflaggt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-260683","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260683"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260683\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}