Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus


August 13th, 2010

To trust or not to trust?

Trust brings together two hot topics that concern our users. First topic – Win32:Injected-AZ which is suspected by many users of being a false positive. Second topic – the reliability of digital signatures (authenticode). Here these two topics intersect with some interesting circumstances (that will be soon elaborated):

examples of software packages affected by Win32:Injected-AZ

As you can see from the table, the Aventura package has a valid digital signature. In this case the detected binary is not signed, but its container (WebClient.cab) is properly signed. This means you are supposed to trust the binary when you approach it from outside (and so perhaps does your browser in default settings?!). As in real life – where you are responsible for everything you sign -  the developer is responsible for what he puts into the package and what he certifies. Remember, the balance between benign code injection and malicious code injection is on a razor’s edge. A similar example also arrived at our FP submission system:

a part of our FP submission log

First to mention, Win32:Injected-AZ is not a false positive at all. Binaries detected under this name contain evident signs of unintentional tampering (caused by a file infector – Win32.Foroux.a). When we look inside, we can see the following parts of code injection:

here we go

part 2

part 3

A close look makes it obvious – this injection (in the last section) is not a part of the original code. However, the digital signature should guarantee that a file really comes from its respective vendor in an unmodified state. Let’s check the signature – is it broken?

ooops, there's a matching signature

What? It isn’t? The signature is valid according to the WinTrust certificate verification. This implies that the binary was injected before the signature was added. A wild, sci-fi scenario is that there was a certificate leak similar to the Stuxnet case, but I seriously doubt it. I tend to believe a scenario where this binary has been passed through the signing and releasing process due to a human error. Well, everyone may fail from time to time, but there should be some methods in place to avoid such things. To be honest, this binary is quite old (v 1.80.19.0 signed in 2002) and I don’t want bash Symantec for such old incident, but someone must still use this version when it appears in our FP submission system. This is an example of what can happen with an overlooked injection (and this injection seems to have been overlooked by many users and even SW developers for years). Fortunately the malcode inside seems to have never been executed, therefore this specific case is not a critical issue. But generally – such unintentional modifications (malicious or not) should not stay under the radar when we want to trust in the safety of properly signed binaries (especially that this injected and signed binary was a part of Symantec security products). What surprises me a bit is the fact that no one else detects the injection (or maybe they have suppressed their detection if they find a “valid” signature):

very poor detection rate

I’m now expecting more Win32:Injected-AZ hits from various edges of world. There’s also a possibility that it has also penetrated clean sets of some respected testers (they can easily check it if they read this article). We often see MS redistributable packages containing this injection (but their digital signatures are broken):

we've seen this already

Anyway – if you encounter this detection on your PC, replace the infected binaries with original ones. And if the original binaries are also infected, ask their vendor to provide you with clean binaries.

  • outpost

    graet job

  • Pingback: To trust or not to trust? | Security Antivirus Virus

  • http://www.ppinfotek.com yanto chiang

    Hi Michal,

    This is great revealed information, sometimes user should know why avast detect as suspicious link or file than other’s vendor not yet detected.

    Keep bring the best information,

    cheers,
    yanto chiang

  • Pingback: Just how paranoid do you have to be? | Avast: Keeping it safe

  • Darren Glaser

    Good work, never understood a word

  • Special AJ

    que buen articulo y que buen trabajo de parte de ustedes por cierto.
    cuales seran las mejoras en avast 5.1 y por cierto por si no lo saben estudios recientes en varios orenadores han detectado que por cierto he decidido comunicar a ustedes avast software y a los usuarios (as) de avast para que tengan cuidado para asi evitar posibles fallos y erroress en avast 5 y 4.8 y es:

    1- como ustedes bien saben en todo ordenador se presentan falos y errores al igual que cuelges y más pero sucede que dichos cuelges de corto o largo plazo sobre todo eso cuelges que congelan por completo el ordenador es decir no dejan que cargue nada dicho error y esto hace o mejor dicho esto afecta al antivirus avast y lo deja inutilizado es decir genera problemas en los modulos o escudos de avast los mas estudidos por el momento y los cuales son mas afectados por decirlo asi son (escudo web, p2p, comportamiento, firewall) pero sobre todo o el principal afectado es el escudo web ya que cuando l ordenador es reiniciado forzosamente (manual) o el mismo se reinicia solo a causa del o los errores entonces cuando abrimos el navegador despùes de haber reiniciado esto hace que cuando vamos a navegar con cualquier navegador no nos deja abrir ningun sitio por que? por que el error que ya habia mensionado antes o errores hacen o afectan al modulo o escudo web de tal manera que lo deja inservible es decir si abrimos el programa avast y vemos el escudo al igual que los demas nos mensiona que esta ejecutandose y que todo esta en perfectas condiciones pero cuando hacemos lo anterior mensionado (Navegar) No podemos por que el escudo web bloquea el acceso por decirlo asi y no deja abrir ningun sitio hasta que este no sea detenido y alli si podemos navegar, pero que sucede aqui que esto es clave y fundamental para los hackers y virus que son instaados en nuestros ordenadores cuando navegamos ya que por decir algo aunque avast detecte despues el virus siempre hay un cierto riesgo de que la infeccion haya causado algun daño (s) que la misma son perjudiciales para aquellos (as) que usan ordenadores por que aparte de que deja vulnerable al ordenador esto puede afctar a avast en su funcionamiento correcto ok…

    En conclusion: si se llega a corregir este error a travez de una nueva version del programa de avast este error podria ser solucionado por que si esto afecta a este modulo que al igual que los otros modulos que son fundamentales para la seguridad de los odenadores como esto podria ser usado en contra para dañar un ordenador bien sea por virus y hackers no solo para dañar el antivirus sino el ordenador en otras palabras los cuelges y/o congelamientos de los ordenadors hacen que avast sea vulnerable a los atauqes de virus y hackers ok…

    2- si un sitio web contiene virus y la misma es constantemente abierta o mejor dicho la misma esta abriendose constantemente ejemplo mas de 100 veces refrescando o actualñizando el mismo sitio es decir si por decir algo el link http://www.virus.com es abierta a cada instante mas de 100 veces el mismo sitio web que contiene virus cuando avast detecta y detiene estos virus afectan a los procesos que utiliza avast (los 2 procesos que ejecuta avast) son detectados por el mismo antvirus como el o los virus que detecto en ese mismo sitio web que fue abierto mas de 100 veces por ejemplo bien sea de manera intensional o no lo cual hace que avast falle o no funcione despues como deberia ser

    3- cuando ejecutamos mas de 4 o 7 analisis con avast esto hace que el antivirus no avanze en su analisis lo cual hace que avat falle en su funcionamiento y la misma afecta despues el buen funcionamiento de avast pues la misma lo congela por decir algo

    4- si se envia al baul unam uestra posible de virus culla muestra es pesada la misma congela o cuelga al antivirus y cuando esto sucede y se le da xerrar a avast o la ventana que el mismo muestra se cierra esto finaliza los procesos de avast es decir el icono que aparece en la ventana del reloj desaparece y esto podria ser usado con malos fines a causa de los hackers y virus pues dicho error podria ser usado con malas intenciones para dañar los ordenadores. y al abrir avast nuevamente aunque aparece el icono en la bandeja de entrada o donde se localiza el reloj cuando lo abrimos en ocaciones podemos ver que nos da la informacion no seguro o el equipo esta expueto a las amenazas, los servicios o modulos de avast da o muestran la informacion servicio detenido y cuando tratamos de solucionarlo en arreglar ahora nos dice imposible de iniciar o el servicio no abre o no se puede ejecutar (algo asi) nos dice este fallo hace vulnerable a avast para una desintalacion del mismo a causa de virus, hackers y a parte de eso hace que avast falle en su buen funcionamiento pues dicho error despues de que se reinicia el ordenador a veces puede decir estado seguro pero si verificamos y estudiamos los modulos de avast estos no funcionan como deberia ser o no se ejecutan cullo caso es muy frecuente en algunos o un cierto porcentaje de ordenadores pues bien como decia en un cierto caso estos modulos , escudos y servicios en ocaciones (frecuentemente esto ocurre) no deja que algun o algunos modulos de avast no se han ejecutados y cuando son ejecutados un cierto modulo o modulos no funcionan del todo correcto ok…

    5- mejorar la compatibilidad en cuanto avast trabaja con otros softyware de seguridad al igual que mejorar el funcionamiento y el comportamiento de avast cuando este es configurado al maximo nivel por decirlo asi

    6- cuando algunos test de virus son alterados y/o modificados añadiendole o quitandole caracteres sobre todo con espacio o dejando un espacio ( con labarra espaciadora) avast no detecta esas modificaciones ya que en si son virus nuevos que fueros modificados a travez de los parametros o test de virus que si son detectados como tal pero dicha modificacion no la detecta xq? algo sucede con avast y una de esas cosas seria por que avast no detecta virus desconocidos o nuevos si lo hace verificar y analizar que dich funcion (es) funcionen del todo bien, los virus sospechosos en avast hay veces que no funcioana del todo
    Observacion: seria mejor desde el punto de vista tecnico hacer un estudio y analisis intensivo del funcionamiento y todo lo que caracteriza a avast para asi determinar y solucionar errores ok…

    7- el escudo de virtualizacion o avast sandbox cuando se ejecutan algunos sitios web (sobre todo de videos, audio o juegos) el escudo web no funciona del todo bien pues a veces se congela o nos da en la ventana no se muestra nada y cuando se finaliza el proceso este afecta a avast. mejorar la compatibilidad y ampliar las extenciones para que avast pueda virtualizar satisfactoriamente todo ti`po de extencion sobre todo el cmd, bat, vbe y otros que cuando se ejecutan dichos procesos a travez de parametros y comando que los mismos traigan no afecten el sistema operativo por que como ustedes bien saben hay personas que se dedican a enviar virus de bromas por msn o por sitios y si uno se pone de curioso abrir estas estenciones al abrir o se nos borra el disco o se nos daña algo a causa de una “broma” por que avast no tiene una funvion como el avira que detecta esos virus en su totalidad que aunque no son virus si se pone analizar desde un punto de vita, se sabe que un virus es perjudicial para un ordenador pero si resulata ser que enviamos un virus de broma y daña a otro ordenador o lo congela entre otras cosas este no podria ser un virus (avast detecta un cierto numero de virus de broma aunque no en su totalidad como deberia ser pues esto es perjudical ya que una persona mal intensionada podria usar esto en beneficio a una propagacion infecciosa y daños a los ordenadores ok… no solo los virus de broma como tambien saben hay virus que son ejecutados a travez de comandos cullos virus son detectados y otros no pero si por decir algo en un caso hay una exencion de un nuevo virus culla extrencion es .cmd o .bat si la abrimos sin darnos cuenta de que es un virus este podria y por logica dañar el ordenador u ordenadores pero si este se ejecuta virtualmente el daño no seria tanto por decir algo pues lo que seria afectado es el proceso virtualizado de avast (avast sandbox) y asi se mejoraria la seguridad.

    8- estudien y analizen la instalacion personalizada de avast pues estos a veces y en ocaciones al frecuente generan probles o mejor dicho hay modulos que no se ejecuta correctamente o algun modulo empieza a dar problemas.

    9- por que avast or decir algo no integra 3 nuevos modulos bien sea en las veriones paga o tambien en la version free pero en sia lo que me refiero es a lo siguiente 3 modulos que consitiran en lo siguiente:

    1º: modulo del funcionamiento de avast cullo modulo consitira en estudiar y analizar a avast para asi determianr vulnerabilidades, problemas, fallos, y otros que avast genere por alguna circunstancia a causa de las aplicaciones , servicios ejecutadas tanto por windows como por el usuario para asi dar solucion a la misma y mejorar a avast haciendo inmune a estos fallos y no dar oportunidad alguna a los virus y hackers

    2º Moludo de Repacion de avast : este modulo trabajara con el modulo anterior para asi solucionar los fallos que se han generados en avast para asi solucionar lo antes posible si en tal caso ocurre un error que no pueda ser solucionado que el mismo genere un informe detallado del problema y qe fue lo que lo causo para asi mejorar a avast aun más.

    3- Modulo avanzado en deteccion de Amenazas : como bien sabemos avast detecta virus ppd y sopechosos (estuiar bien esas funciones por que a veces puede fallar o no funciona como deberia ser) como decia si avast detecta ese tipo de amenzas por que no hacer o crear un modulo que detecte no solo las amenzas nuevas si no tambien desconocidas mejor como lo hacen muchos productos antivirus puies bien a lo que me refiero que avast sea capaza de detectar virus nuevos que no hallan sido detectados por otros antivirus al igual que virus desconocidos que aunque los otros antivirus no detecte dicha infeccion que avast sea capaza de ello pero de una mejor forma ya que como bien sabemos siempre hay nuevos y desconocidos virus dia a dia pero si se genera un modulo con estas especificaciones no creen ustedes que esto seria beneficioso para todas y para todos?

    En conclusion si se pienza bien esto seria un grana avanze y una gran mejora para avast 5 estos estudios y analisis fueronm realizados en lzas version avast 5.0.594 en las versiones free/ pro Is ok… espero que sea una gran ayuda para ustedes y de que por favor no borren dicho reporte ara asi adevertir y hacer que los usuarios y usuarias de avast tenga precauciones para asi evitar daños a susordenadores y gracias no hablo ingles y es por eso que este informe es en español ok…

  • http://mindenaprosag.mlap.hu/ HungarianUser

    Sorry, but I don’t know where could I write it: avast! has a false positive in this site: http://www.cinober.hu/ . According to F-Secure, Malwarebytes’ Anti-Malware, Kaspersky, Norton and NOD32, this site is clear.

    I wrote the link to the Virustotal’s link-analyser, and this found the site clear.

    Only avast! and Avira found trojan horses.

  • jk

    @HungarianUser
    There are two pieces of malicious code inserted at the end of the main page. So most of the avs are not correct. Please, continue with the support queries on our support center or on our forum – the links are on the right.

  • http://mindenaprosag.mlap.hu/ HungarianUser

    @jk
    From a Hungarian forum, an Avira-fanboy sent the link to Avira; and they found the site clean. So, now only avast! detects a trojan horse on it. VirusTotal link-analyser finds the site clean.

  • jk

    @HungarianUser
    Yes, only avast rules ;) The malcode is there, no matter what avira says.

  • http://www.ppinfotek.com yanto chiang

    HungarianUser :
    @jk
    From a Hungarian forum, an Avira-fanboy sent the link to Avira; and they found the site clean. So, now only avast! detects a trojan horse on it. VirusTotal link-analyser finds the site clean.

    Hi Hungarian,

    According to the one web scanning tool, this site has infected by i-frame.

    Please see the link : http://scanner2.novirusthanks.org/analysis/a4083c6fc7445480957b7eee1d4ff4f5/aW5kZXg=/

    And if you have any further problem, you may visit to forum.avast.com

    cheers,
    yanto chiang

  • http://dlnet.darkbb.com Hanziness

    There’s another topic about this, and when you scan a link with VirusTotal, click on “View downloaded file analysis” and you will get the REAL results.

    And thank you for explaining it, Michal Krejdl :)
    Keep up the good work :)