[EpiData-list] EpiData-list Digest, Vol 172, Issue 4 - McAfee wrong virus detection

EpiData development and support epidata-list at lists.umanitoba.ca
Tue Jun 19 13:59:40 CDT 2018


Dear all, 

This refers to McAfee Endpoint security ver 10.5.3.3178. This program is
forced by my employer. I get a warning when downloading the exe file and
when running manager/client. This applies both to the old  Epidata
version from 2007 and the new. There has been NO signs of malfunction or
infection. I believe strongly that this issue is not related to an
actual virus threat but rather that McAfee detects all non-standard
programs. The logs from McAfee follows below (mostly for the Epidata
team): 

Ryktet för programmet EPIDATAMANAGER.EXE är Okänt, vilket är under den
konfigurerade inneslutningströskeln. Adaptivt skydd mot hot inneslöt
inte programmet eftersom observationsläget är aktiverat. 
-------------------------

ANALYS/DETEKTOR

 		Produktnamn
 		McAfee Endpoint Security

 		Produktversion
 		10.5.3.3113

 		McAfee GTI-fråga
 		Ja

 		Funktionsnamn
 		On-Execute Scan

HOT

 		Vidtagen åtgärd
 		Innesluts eventuellt

 		Hotkategori
 		Processklass eller -åtkomst

 		Hot identifierat vid start
 		Nej

 		Hothändelse-ID
 		35111

 		Hanterat hot
 		Ja

 		Namn på hot
 		ATP/Suspect!38626ef41d2c

 		Allvarlighetsgrad för hot
 		Varning

 		Tidsstämpel för hotet
 		2018-6-17 20:31

 		Typ av hot
 		Dynamic Application Containment

KÄLLA

 		Åtkomsttid för källan
 		2018-6-17 20:30

 		Skapelsetid för källan
 		2010-11-21 04:24

 		Källfilens storlek
 		2872320

 		Värddatornamn för källa
 		SOSLS79102197

 		Ändringstid för källan
 		2010-11-21 04:24

 		Källfilens processnamn
 		C:\WINDOWS\EXPLORER.EXE

 		Källanvändarnamn
 		GAIA\24jj

MÅL

 		Åtkomsttid för målet
 		2018-6-17 20:31

 		Skapelsetid för målet
 		2017-4-21 01:38

 		Målfilens storlek (byte)
 		7031808

 		Målhash
 		57522881d6cdf31353875012fb917976

 		Värddatornamn för mål
 		SOSLS79102197

 		Ändringstid för målet
 		2018-5-30 13:46

 		Målnamn
 		EPIDATAMANAGER.EXE

 		Målsökväg
 		C:\PROGRAM FILES\EPIDATA

 		Målanvändarnamn
 		GAIA\24jj

ANNAT

 		Vektortyp
 		Lokalt system

 		Avkänningsmeddelande
 		Avkänning i Adaptivt skydd mot hot, observationsläge

 		Tid före avkänning (dagar)
 		18

Even download of the old client is detected as a threat: 

GAIA\24jj använde C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
för att hämta http://epidata.dk/downloads/setup_epidata.exe, som är
klassificerad som Röd. Hämtningen har Blockerad av McAfee Endpoint
Security. 
-------------------------

ANALYS/DETEKTOR

 		Produktnamn
 		McAfee Endpoint Security

 		Produktversion
 		10.5.3

 		McAfee GTI-fråga
 		Ja

 		Funktionsnamn
 		Hämtnings-URL

HOT

 		Vidtagen åtgärd
 		Blockerad

 		Hotkategori
 		Hämtning av skadlig fil

 		Hothändelse-ID
 		18601

 		Hanterat hot
 		Ja

 		Namn på hot
 		Web Control Violation

 		Allvarlighetsgrad för hot
 		Allvarliga

 		Tidsstämpel för hotet
 		2018-6-17 20:05

 		Typ av hot
 		Hämtning av skadlig fil

KÄLLA

 		Källfilens storlek
 		990228

 		Källans IPV4
 		46.30.213.252

 		Filhash för källans process
 		504c12f8bc573e324fdeb54919840243

 		Källfilens processnamn
 		C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

 		Signerad källa
 		Nej

 		Käll-URL
 		http://epidata.dk/downloads/setup_epidata.exe

 		Klassificeringskod för käll-URL
 		Röd

 		Webbkategori för käll-URL
 		Skadliga webbplatser

 		Källanvändarnamn
 		GAIA\24jj

MÅL

 		Målnamn
 		setup_epidata[1].exe

 		Målsökväg
 		C:\Users\24jj\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Low\Content.IE5\Q1PMWX53

 		Målanvändarnamn
 		GAIA\24jj

ANNAT

 		Vektortyp
 		Webbplats

Even download of Entryclient is detected and blocked: 

GAIA\24jj använde C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
för att hämta
http://epidata.dk/downloads/epidataentryclient.4.4.1.0.win.64.zip, som
är klassificerad som Röd. Hämtningen har Blockerad av McAfee Endpoint
Security. 
-------------------------

ANALYS/DETEKTOR

 		Produktnamn
 		McAfee Endpoint Security

 		Produktversion
 		10.5.3

 		McAfee GTI-fråga
 		Ja

 		Funktionsnamn
 		Hämtnings-URL

HOT

 		Vidtagen åtgärd
 		Blockerad

 		Hotkategori
 		Hämtning av skadlig fil

 		Hothändelse-ID
 		18601

 		Hanterat hot
 		Ja

 		Namn på hot
 		Web Control Violation

 		Allvarlighetsgrad för hot
 		Allvarliga

 		Tidsstämpel för hotet
 		2018-6-17 19:33

 		Typ av hot
 		Hämtning av skadlig fil

KÄLLA

 		Källfilens storlek
 		3683108

 		Källans IPV4
 		46.30.213.252

 		Filhash för källans process
 		504c12f8bc573e324fdeb54919840243

 		Källfilens processnamn
 		C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

 		Signerad källa
 		Nej

 		Käll-URL
 		http://epidata.dk/downloads/epidataentryclient.4.4.1.0.win.64.zip

 		Klassificeringskod för käll-URL
 		Röd

 		Webbkategori för käll-URL
 		Skadliga webbplatser

 		Källanvändarnamn
 		GAIA\24jj

MÅL

 		Målanvändarnamn
 		GAIA\24jj

ANNAT

 		Vektortyp
 		Webbplats

---

-------------------------

Jonas Malmstedt
Munkedalsvägen 3
122 42 Enskede, Sweden
08-648 0838 (hem)      +46 8 6480 838  (home)
070-758 6838 (mobil)  +46 7 0758 6838 (cellular)
08-616 2893 (arbete)   +46 8 6162 893  (work)

2018-06-19 19:00 skrev epidata-list-request at lists.umanitoba.ca:

> Send EpiData-list mailing list submissions to
> epidata-list at lists.umanitoba.ca
> 
> To subscribe or unsubscribe via the World Wide Web, visit
> http://lists.umanitoba.ca/mailman/listinfo/epidata-list
> or, via email, send a message with subject or body 'help' to
> epidata-list-request at lists.umanitoba.ca
> 
> You can reach the person managing the list at
> epidata-list-owner at lists.umanitoba.ca
> 
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of EpiData-list digest..."
> 
> EpiData-list mailing list
> ___________________________________
> 
> Today's Topics:
> 
> 1. message to all EpiData users - we have received reports of an
> important potential problem (EpiData development and support)
> 
> ----------------------------------------------------------------------
> 
> Message: 1
> Date: Mon, 18 Jun 2018 23:12:52 +0200
> From: EpiData development and support
> <epidata-list at lists.umanitoba.ca>
> To: EpiData development and support <epidata-list at lists.umanitoba.ca>
> Subject: [EpiData-list] message to all EpiData users - we have
> received reports of an important potential problem
> Message-ID: <bb216257-6184-0814-e210-1c4d83a93c0a at epidata.dk>
> Content-Type: text/plain; charset=utf-8; format=flowed
> 
> We have received two independent messages of a potential virus/viral 
> threat with the latest EntryClient in the Windows version. (From Sweden 
> and Switzerland)
> 
> The programming and compilation of ALL EpiData software is done in Linux 
> and we have NOT changed any of the programming tools from the latest to 
> the previous version of EntryClient.
> 
> Where we work these problems have not occurred, so it seems to be 
> dependent on which particular version of the anti-virus software is 
> blocking the function of EntryClient.
> 
> We are reasonably convinced that the problem is some similarity of 
> internal code with a known virus or trojan. If our development system 
> had been infected, then this would also affect previous versions.
> 
> To be sure of this we will obviously spent some time to look into the 
> problem in collaboration with the reporters. AND quite soon return with 
> a solution. (In the meantime I would personally mark in my virus 
> software the EntryClient as not-infected - if that is possible, but it 
> is obviously up to you. The reason being that we have not changed 
> anything here)
> 
> Should you experience such problems please write an e-mail to info (at) 
> EpiData.dk - following solving the problem we will then contact you 
> directly.
> 
> best wishes
> 
> Jens Lauritsen
> EpiData Association
> Denmark
> 
> ------------------------------
> 
> ________________________________________
> EpiData-list at lists.umanitoba.ca
> http://lists.umanitoba.ca/mailman/listinfo/epidata-list
> 
> End of EpiData-list Digest, Vol 172, Issue 4
> ********************************************


More information about the EpiData-list mailing list