Antivirus Essential, Datei in Quarantäne

[whocares]

Hallo,

habe festgestellt, dass Antivirus Essential eine Datei in Quarantäne verschoben hat. Würde gerne wissen, wie ich damit umgehen soll. Wenn ich das richtig interpretiere, handelt es sich um eine Datei aus dem Paket Active Insight. Seltsam ist allerdings, dass ich dazu so gut wie nichts bei Google finde.

Nachfolgend die Angaben zum Quarantäneeintrag:

Dateiname: prometheus
Dateiname: ist/local/packages/@appstore/ActiveInsight/bin
Gefahr: unix.malware.kaiji.10003916-0


Vermute hier ein false positive, finde aber seltsam, dass ich dazu nichts im Internet finde. Müssten dann ja viele davon betroffen sein, da Active Insight ja quasi zum Standard gehört.
Wie ist das zu bewerten und was soll ich tun? Die Datei aus der Quarantäne löschen und / oder das Paket Active Insight löschen / deaktivieren?

Viele Grüße

 

[RichardB]

Ich würde eher AE deinstallieren, es verbraucht nur sinnlos Ressourcen ohne einen entsprechenden Mehrwert zu liefern. Die Meldung ist sicher ein false positive. Mir hat das Programm seinerzeit eine WIN- Installationsdatei als Virus angezeigt (gut, darüber kann man diskutieren ).
Es gibt nur wenige Biester, die ein Linux-System direkt angehen und die findet das Programm nicht. Du bist besser dran, wenn Deine Clients gut geschützt sind.

 

[mayo007]

Kannst den schrott auch deinstallieren. Da hast mehr von.

 

[ctrlaltdelete]

AE deinstallieren, die Nutzung ist sinnfrei, die Clients musst du schützen.

 

[ottosykora]

Seltsam ist allerdings, dass ich dazu so gut wie nichts bei Google finde.

weil diesen Placebo AV kaum jemand verwendet

 

[Synchrotron]

Zurück zum ersten Post: Also ich finde da eine ganze Menge. Hier einige Fundstellen:

https://malpedia.caad.fkie.fraunhofer.de/details/elf.kaiji

https://resources.infosecinstitute....orks-and-how-to-prevent-it-malware-spotlight/

https://github.com/Cisco-Talos/clamav/issues/944

Offenbar hat ClamAV (das ist die AV-Software, die Synology installiert) ein Problem mit false positives, und zeigt Kaiji an, wo keines ist.

 

[whocares]

Das hatte ich im Nachhinein auch gefunden. Offen blieb, ob AE diese AV-Software verwendet. Insgesamt relativ wenig, was Google ausgespuckt hat, insbesondere irgendein Treffer im Zusammenhang mit Synology, geschweige denn Active Insight. Dazu gibt es nämlich überhaupt keine Treffer.

 

[Synchrotron]

Synology Antivirus Essential ist m.w. ein Rebranding von ClamAV.

 

[plang.pl]

Jap. Ist die ClamAV Engine.
Ich hatte sie anfangs auch im Einsatz. Nur False-Positives. Und ich habe bisher noch nie gehört, dass DSM infiziert wurde.
Also runter das Dingens.

 

[jkalden]

AE deinstallieren, die Nutzung ist sinnfrei, die Clients musst du schützen.

Naja, wenn ich die Mails zentral auf der DS speichere, dann schütze ich ja die Clients auch, indem ich die DS schütze, oder nicht? Deswegen verstehe ich die Mehrzahl der Antworten in diesem Thread nicht wirklich.

 

[ottosykora]

ist doch einfach: es ist kein AV, nur ein Ärgenis und Clients schützt man nicht wenn man auf etwas setzt was keinerlei Funktion ausser Ärger hat

 

[jkalden]

@ottosykora Der Punkt kam vorher schon raus. Die mangelnde Konstruktivität auch. Hilft so halt dem Fragesteller nicht weiter.

PS: Clients sollten unabhängig davon ebenfalls geschützt werden - ist mir auch klar!

 

[grac]

Nach einer Migration von DS213+ auf DS224+ inkl. 2 neuen HDDs (je 4 TB) habe ich meinen ganzen Datenbestand (ca. 750 GB) zweimal auf Viren geprüft:

• Antivirus Essential fand 75 Dateien und schmiss sie in die Quarantäne
• Antivirus McAfee fand nur 4 Dateien, die möglicherweise infiziert waren

Kann damit also nur bestätigen, dass AE völlig überflüssig ist. Die Anzahl der falsch positiven Befunde ist lächerlich gross - und echt falsch.
Darum: einfach ignorieren, bzw. Bitte an Synology, dieses Paket nicht mehr anzubieten, es verführt zu falschen Erwartungen.

 

[Benie]

Hallo und herzlich willkommen im Forum. Aber, wenn dann musst Du das direkt an Synology melden.
Hier ist ein privat auf die Füße gestelltes Forum, Synology selbst hier nicht vertreten.

 

[*kw*]

@grac: zu dieser Erkenntnis sind wir hier schon länger gekommen.

PS: herzlich Willkommen

 

[grac]

das habe ich schon verstanden, mir war wichtig, meine Erfahrung hier zu teilen ...

 

[*kw*]

War auch nicht despektierlich gemeint. Bestätigt das Ganze nur um ein weiteres.

 

[grac]

habe nun eine Meldung beim Synology Support gemacht betr. Antivirus Essential, die Antwort:

I will inform our HQ about that so that they can consider further procedures with the package.

Fortsetzung folgt ...

 

[ottosykora]

diese App gibt es vermutlich seit dem es Syno gibt.
In Linux Distros welche ich kenne ist es auch immer beigepackt, einfach weil es nichts kostet und einfach etwas da ist. ClamAV basiert vor allem auf der so genannten Heuristik, tut also nicht was konkretes suchen sondern nur allgemeine Merkmale von potentieller Malware.
Es wird auch nicht zur Überwachung genutzt, sondern um einzelne Dateien anzuschauen.
Es fällt wohl auch niemandem ein damit sein ganzes Ubuntu Linux PC zu scannen, auch wenn dies theoretisch möglich wäre.

Man kann es auch zum Bsp unter Windows testen, heisst dann Clamwin oder so ähnlich.
sogar portable Version, also ohne was zu installieren, gibt es hier https://portableapps.com/apps/security/clamwin_portable.
Es ist gewiss auch hier nicht dazu vorgesehen ganze Systeme damit zu scannen, auch wenn dies rein technisch möglich wäre.

Problem damit liegt meiner Meinung nach also nicht alleine in dem Programm, sondern wie es benutzt wird.

 

[Benie]

Man sollte Clam AV nicht grundsätzlich als schlecht verurteilen. Aber man sollte nicht ganz unbedarft hinnehmen was und ob es etwas findet. Etwas Erfahrung zum Thema Viren schadet hierbei sicherlich nicht.
Man Postet hier oft, die Clients sind zu schützen. Auf einem Linux Client ist das anderweitig für die meisten User nicht so einfach ohne Clam AV überhaupt möglich.
Auch Linux Systeme bleiben von den bösen Buben nicht gänzlich verschont.