{"id":286780,"date":"2023-10-08T08:39:17","date_gmt":"2023-10-08T06:39:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286780"},"modified":"2023-10-08T08:39:17","modified_gmt":"2023-10-08T06:39:17","slug":"winrar-6-24-deutsch-wird-von-virenscannern-gemeldet-6-8-oktober-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/08\/winrar-6-24-deutsch-wird-von-virenscannern-gemeldet-6-8-oktober-2023\/","title":{"rendered":"WinRAR 6.24 (Deutsch) wird von Virenscannern gemeldet (6.-8. Oktober 2023)"},"content":{"rendered":"

\"SicherheitKurze Information f\u00fcr die Leserschaft. Gestern informierte mich ein Blog-Leser, dass sein Download des Software-Pakets WinRAR 6.24 (Deutsch) einen Alarm bei Virustotal ausgel\u00f6st habe. Meine Gegenpr\u00fcfung ergab, dass die betreffenden Downloads nur bei einem Scanner eine Warnung ausl\u00f6sten. Die zweite Gegenprobe durch den Leser ergab erneut Alarme, und je nachdem wie ich vorgehe bekomme ich auch Alarme. Ich dokumentiere den Fall, der ein Fehlalarm sein kann, mal hier im Blog. Aktuell w\u00fcrde ich WinRAR nicht aktualisieren, bis das gekl\u00e4rt ist. <\/p>\n

<\/p>\n

\"\"Das Archivprogramm WinRAR 6.24 wurde ja vor wenigen Tagen freigegeben – die Kollegen von deskmodder haben es zum 5. Oktober 2023 im Beitrag WinRAR 6.24 Final korrigiert 2 Fehler beim Extrahieren<\/a> thematisiert. Gestern hat mich Stefan K. per E-Mail kontaktiert, weil ihm Freitag, den 6. Oktober 2023 ein Update von WinRAR auf die Version 6.24 angezeigt wurde. Er hat sich daher diese Version in Deutsch von der offiziellen WinRAR-Seite geladen und diese wie immer in Virustotal gepr\u00fcft.<\/p>\n

Virustotal meldet Fehler<\/h2>\n

Zu seinem Erstaunen meldeten drei ihm  vom Namen her unbekannte Scanner auf Virustotal zu diesem Zeitpunkt einen Befund. Er hat das Update dann einen Tag zur\u00fcckgestellt und am gestrigen Samstag-Morgen nochmals eine Pr\u00fcfung gestartet. bei diesem Scan meldeten acht Scanner einen Befund, darunter auch Google, Fortinet, McAfee und Trend Micro. Nachfolgend ist das Ergebnis der Pr\u00fcfung auf Virustotal zu sehen. <\/p>\n

\"Virustotal<\/a>
Virustotal meldet WinRAR 6.24 als Infiziert<\/em><\/p>\n

Er fragte, ob ich vielleicht irgendwo etwas geh\u00f6rt habe, ob das was im Busch sei. Hatte ich nicht. Stefan schrieb dann, dass er die Finger erst einmal vom Update lasse und in zwei \/ drei Tagen nochmal die Sachlage pr\u00fcfen werde.<\/p>\n

D\u00fcrfte ein Fehlalarm gewesen sein<\/h2>\n

An dieser Stelle ging mir durch den Kopf, dass es sich um einen Fehlalarm handelte, denn zum 30. September 2023 hatten wir ja einen solchen Fehlalarm beim Tor-Paket. Ich hatte im Blog-Beitrag Microsoft Defender l\u00f6st bei Tor.exe Warnung vor \"Trojan:Win32\/Malgent!MTB\" aus<\/a> berichtet. Inzwischen ist die Signatur im  Defender aktualisiert und Tor wird wieder akzeptiert. <\/p>\n

Ich habe mir daher gestern die Seite von RarLab https:\/\/www.rarlab.com\/<\/a> aufgerufen und beide deutschen WinRAR-Download-Links auf Virustotal pr\u00fcfen lassen. Virustotal listete nur den Scanner URL Query <\/em>auf, der die Pakete als \"suspicious\" (verd\u00e4chtig) anmahnte. Deutete darauf hin, dass ich entweder eine andere Quelle hatte, oder die Virenscanner aktualisiert wurden, um den Fehlalarm zu bereinigen. <\/p>\n

Ich habe diesen Befund per Mail an den Leser gemeldet, der erneut testete und mir folgendes schrieb: Er versuchte aus dem installierten Programm WinRAR 6.23 ein Update auf die 6.24 anzusto\u00dfen. <\/p>\n

\"WinRAR<\/p>\n

Wenn er auf die Schaltfl\u00e4che Homepage <\/em>in obigem Dialogfeld klickt, wird er zur Seite:<\/p>\n

https:\/\/www.win-rar.com\/start.html?&L=1<\/a> <\/p>\n

geleitet und der Download erfolgt von <\/p>\n

https:\/\/www.win-rar.com\/download.html?&L=1<\/a><\/p>\n

Die Deutsche Version zeigt laut der Aussage des Lesers auf die URL: <\/p>\n

https:\/\/www.win-rar.com\/fileadmin\/winrar-versions\/winrar\/winrar-x64-624d.exe<\/a> <\/p>\n

Der Hash der Datei ist der gleiche wie in den vorherigen Downloads, nur wurden Stefan nun Meldungen von neun Scannern angezeigt. <\/p>\n

\"Virustotal<\/a>
Virustotal meldet WinRAR 6.24 als Infiziert <\/p>\n

Stefan schrieb dazu: Gehe ich wie Du \u00fcber RARlabs liegt der Download unter diesem Link und die Datei hat einen anderen Hashwert: <\/p>\n

https:\/\/www.rarlab.com\/rar\/winrar-x64-624d.exe<\/a> <\/p>\n

Das Ergebnis von Virustotal sieht dann so aus: <\/p>\n

\"Virustotal<\/a>
Virustotal meldet WinRAR 6.24 als Infiziert <\/p>\n

Ich habe jetzt mal die Probe gemacht, der Download der WinRAR-Installationsdatei wird beim Hochladen auf Virustotal nach wie vor von neun Virenscannern als b\u00f6sartig mit Trojanern gemeldet. Gebe ich den Download-Link der WinRAR-Installerdatei (64-Bit) von der WinRAR-Seite auf Virustotal an, werden mir entweder ein oder zwei Warnungen angezeigt<\/a>. Der Upload der Datei von der Download-Adresse zeigt dagegen acht Scanner mit Warnungen. <\/p>\n

Das l\u00e4sst den Schluss zu, dass Virustotal beim Scan einen Unterschied zwischen angegebenen URLs und hochgeladenen Dateien macht. Weiterhin sollten deutsche Nutzer aktuell erst einmal von einem Update Abstand nehmen, bis die Sachlage gekl\u00e4rt ist. Ich gehe von einem Fehlalarm aus – aber sicher kann man nie sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kurze Information f\u00fcr die Leserschaft. Gestern informierte mich ein Blog-Leser, dass sein Download des Software-Pakets WinRAR 6.24 (Deutsch) einen Alarm bei Virustotal ausgel\u00f6st habe. Meine Gegenpr\u00fcfung ergab, dass die betreffenden Downloads nur bei einem Scanner eine Warnung ausl\u00f6sten. Die zweite … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,161],"tags":[4328,3836,4313],"class_list":["post-286780","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-virenschutz","tag-sicherheit","tag-software","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286780"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286780\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}