Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Malwarebytes Bug? Paradoxes Ereignis im Echtzeitschutz (https://www.trojaner-board.de/214567-malwarebytes-bug-paradoxes-ereignis-echtzeitschutz.html)

Gleitlager 27.01.2025 10:40

Malwarebytes Bug? Paradoxes Ereignis im Echtzeitschutz
 
Hallo,

ich habe hier einen möglichen Bug in MBAM gefunden. Ich war am Surfen, dann kam auf einmal diese Meldung ca. 4 Minuten nachdem der MB Browser Guard eine andere Seite blockiert hat, Grund Phishing. Die Seite wo ich war als die Meldung kam und die Hauptseite von der Domain (.com und nichts dahinter) sind beide sauber mit 0 detections bei Virustotal.

Ist das ein Bug? Ausgehende Verbindung blockiert, aber es wird keine Domain oder IP genannt. Die Log ist nicht bearbeitet. Davor war nie so ein Eintrag ohne irgendwelche Dateien, Bedrohungen, Domänen, IPs oder ähnliches zu benennen und mit Google konnte ich auch nichts dazu finden.

Code:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 27.01.2025
Uhrzeit des Schutzereignisses: 08:44
Protokolldatei: 9778bcf6-dc82-11ef-9095-2cf05d74b048.json

-Softwaredaten-
Version: 5.2.5.158
Komponentenversion: 1.0.5135
Version des Aktualisierungspakets: 1.0.95046
Lizenz: Premium

-Systemdaten-
Betriebssystem: Windows 11 (Build 26100.2894)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, C:\Program Files\Mozilla Firefox\firefox.exe, Blockiert, -1, -1, 0.0.0, D113BB8BE1BAFCB27BFDF8DC331B0E79, E1EB2A81AEB84BF2831EE7A931342CF196B334E63D9ECB4E203136A74FDC8D55

-Website-Daten-
Kategorie: Unspecified
Domäne:
IP-Adresse:
Port: 80
Typ: Ausgehend
Datei: C:\Program Files\Mozilla Firefox\firefox.exe



(end)

Anm.: Bei MBAM und Browser Guard keine Einträge bei zulässiger Liste, keine Programme oder Addons installiert in den letzten Tagen, theoretisch hat keine andere Person Zugang zum Rechner

Außerdem "unspecified" müsste der nicht normalerweise einen Grund angeben für die Meldung?

cosinus 27.01.2025 11:52

Was für Antworten erwartest du jetzt eigentlich wenn du Namen der Website nicht verrätst? :glaskugel:

Gleitlager 28.01.2025 05:39

Zitat:

Zitat von cosinus (Beitrag 1789315)
Was für Antworten erwartest du jetzt eigentlich wenn du Namen der Website nicht verrätst? :glaskugel:

Ja du, genau das ist ja das Problem. Die Felder sind einfach leer im MBAM. Müsste da nicht immer etwas stehen?

An der Log ist nichts entfernt, hinzugefügt oder umgeschrieben. Die Felder waren leer.

Direkt in MBAM/Erkennungsverlauf/Verlauf (Übersicht)
sind die Felder "Ereignisdetails" und "Ort" leer, Aktion: "blockierte Webseite"

Das kam nicht direkt nach dem Öffnen einer Seite, sondern als eine Seite schon eine Weile geladen war und ich am schauen war. Ich hatte da so eine Seite gefunden, xxx collections, aber die hat 0 detections auf Virustotal. Das überprüfe ich immer, bevor ich solche Seiten teste. Normalerweise auch Scamadviser, aber die Seite geht gerade nicht. Heruntergeladen habe ich da nichts, sondern erstmal nur geschaut, was es da so gibt.




Oder mal ganz dumm gefragt... Kann Firefox irgendwie durch einen Bug etwas unübliches versucht haben und MBAM hat es blockiert, weil es ungewöhnlich ist, völlig unabhängig von dem, wo gerade gesurft wurde? Oder waren es vllt. dieser Windows Feed in der Taskleiste? Der hatte auch schon f/p bei MBAM vor einer Weile.

Wenn normal mit der Seite etwas fault ist, hätte MBAM doch die Seite nennen müssen und einen von den üblichen Gründen geben müssen.

Der hat ja sogar f/p bei Seiten, die höchstwahrscheinlich sauber sind wie Gannikus.de

cosinus 28.01.2025 08:52

Es geht um die Seite, von der du geschrieben aber den Namen nicht verraten hast!

Gleitlager 29.01.2025 02:00

xxx collections net war die Seite, aber die Meldung kam nicht sofort beim Öffnen der Seite wie normalerweise, sondern erst als ich schon eine Weile darauf war. Die andere Seite, die 4 Minuten davor vom Browser Guard blockiert wurde war eine Seite auf peibuj com. Ich bekomme es nicht hin die vollständige URL aus den Logs des Browser Guards zu holen.

Ich habe weiter versucht zu googlen. Direkt diese Symptomatik habe ich nicht gefunden. Bei anderen Sachen mit Erkennungen wegen "unspecified" sah es im MB-Forum so aus als wäre Windows die Ursache, mit den Informationen, die man als Gast entnehmen kann.

Seit dem Vorfall ist nichts passiert, keine Erkennungen im Defender, keine Erkennungen in MBAM, keine Blocks in Browser Guard/uBlocky Origin, keine roten Einträge im Zuverlässigkeitsverlauf.

cosinus 29.01.2025 02:28

Und wie kam's zur Seite? Doch nicht über web.de oder gmx.de?

Gleitlager 29.01.2025 08:11

Nach Next Door Nikki Sachen gesucht, nicht gmx oder web, aber die ursprüngliche Sache bleibt. Die Log da oben ist nicht verändert, die Felder waren leer. Deswegen dachte ich, dass das ein Bug ist bzw. mein Anliegen, warum Malwareytes in der 1. Log die genannten Felder leer gelassen hat.

Mal zum Vergleich eine Seite, die vermutlich f/p ist:
Seite direkt geblockt - Zugang garnicht erst möglich, keine verzögerte Meldung
Konkreter Grund in der Log - Kein unspecified
Keine leeren Felder

Code:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 29.01.2025
Uhrzeit des Schutzereignisses: 08:07
Protokolldatei: a5e307af-de0f-11ef-b2c3-2cf05d74b048.json

-Softwaredaten-
Version: 5.2.5.158
Komponentenversion: 1.0.5135
Version des Aktualisierungspakets: 1.0.95136
Lizenz: Premium

-Systemdaten-
Betriebssystem: Windows 11 (Build 26100.3037)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, C:\Program Files\Mozilla Firefox\firefox.exe, Blockiert, -1, -1, 0.0.0, D113BB8BE1BAFCB27BFDF8DC331B0E79, E1EB2A81AEB84BF2831EE7A931342CF196B334E63D9ECB4E203136A74FDC8D55

-Website-Daten-
Kategorie: RiskWare
Domäne: gannikus.de
IP-Adresse: 92.205.55.211
Port: 443
Typ: Ausgehend
Datei: C:\Program Files\Mozilla Firefox\firefox.exe



(end)

Der Abschnitt Website-Daten ist völlig anders.

Verstehst du jetzt, was ich meine?

cosinus 29.01.2025 10:43

Ich hab deine Frage schon verstanden!
Aber versuch doch mal die Lage eines Dritten zu verstehen, wie soll man denn irgendwas einstufen wenn du nichtmal sagen kannst (willst?!) welche Seite genau angemeckert wird.

Zitat:

Domäne: gannikus.de
Das war aber vorher nicht im Log. Besuchst du die Seite regelmäßig oder war der Besuch auch nur ein Unfall?

Explo 29.01.2025 12:30

Hey Gleitlager (schöner Name :D),

ob das ein Fehlalarm oder nicht ist, lässt sich als Außenstehender schwierig nachvollziehen (hatte cosinus ja versucht). Da MBAM persee keine Malware meldet, würde ich nicht von einer allgemeinen "Versuchung" ausgehen. In diesem Fall wäre es eher eine Frage für das MBAM-Forum, da es ja eher um das Programm an sich geht als um (definierbare) Malware

Gleitlager 30.01.2025 04:50

Ja, diese Reaktion von dem MBAM, ohne eine Begründung zu nennen, ist komisch.

Zitat:

Zitat von cosinus (Beitrag 1789359)
Ich hab deine Frage schon verstanden!
Aber versuch doch mal die Lage eines Dritten zu verstehen, wie soll man denn irgendwas einstufen wenn du nichtmal sagen kannst (willst?!) welche Seite genau angemeckert wird.



Das war aber vorher nicht im Log. Besuchst du die Seite regelmäßig oder war der Besuch auch nur ein Unfall?

Ich dachte du meintest, dass da etwas entfernt wurde. War wohl mein Fehler.

Die Seite, wo die Meldung kam, ist noch immer sauber auf Virustotal und gerade ließ sich eine Wiederholung davon nicht provozieren (Hauptseite und mehrere Unterseiten davon ein paar Minuten geladen lassen)
https://www.virustotal.com/gui/url-analysis/u-451ceb17924558d01d37614a9b5d3b249bfaa1ce9c82c8ef805d0e205da887c2-1738207951

Dieses Gannikus-Portal kenne ich schon ein paar Jahre. Die sind mehrfach mit schlechten Informationen aufgefallen und da fand ich es witzig, dass die im MBAM gesperrt sind. "Schlechte Informationsquelle" ist eher die Norm als die Ausnahme in der Nische von denen. Deswegen hatte ich die bereit als Vergleich für eine gesperrt Seite.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131