7Zip False Positive?

[IT-T0bi]

Moin zusammen,

auch wenn die Meinungen bezüglich Drittanbietersoftware im Bereich Sicherheit auseinander gehen können versuche ich trotzdem mein Glück. Aktuell habe ich Kaspersky installiert.
Beim Download von 7zip 64 Bit (https://www.7-zip.org/) bekomme ich die Meldung für einen 'bösartigen Link'. Die 64er Version wird im Kontext von github heruntergeladen (https://github.com/ip7z/a/raw/main/7z1900-x64.exe). Bei der 32er Version gibt es keine Probleme (https://github.com/ip7z/a/raw/main/7z1900.exe)

Meine Frage ist eher, ob das Konto auf Gtlhub (https://github.com/ip7z/) eher seriös ist und wirklich von 7zip stammt? Somit kann ich dann auch selbst resultieren, dass es ein False Positive ist.

Bitte spart euch Kommentare wie 'deinstalliere Kaspersky einfach'

Grüße

 

[tollertyp]

Im Zweifel solche Dienste nutzen und sich selbst ein Bild machen: https://www.virustotal.com/de/
Ergebnis: https://www.virustotal.com/gui/url/...4d439b4d0f6a30ba13922bbace47ae91d91/detection

Schlussfolgerung: Kaspersky deinstallieren.

Lade aber gerne deine Datei da hoch, um zu schauen, ob diese auch wirklich dasselbe Ergebnis hat.

 

[JennyCB]

https://www.7-zip.org/a/7z1900-x64.exe

 

[IT-T0bi]

https://www.7-zip.org/a/7z1900-x64.exe

Die Seite leitet auf github weiter...

 

[tollertyp]

@JennyCB:
Die Datei ist identisch zu https://github.com/ip7z/a/raw/main/7z1900-x64.exe

@IT-T0bi: Gut, dann ignoriere meinen Beitrag halt.

 

[Helge01]

Habe testweise die 64 Bit heruntergeladen (https://www.7-zip.org/download.html) und mit virustotal.com geprüft, da ist alles in Ordnung.
https://www.virustotal.com/gui/file...901fdf46a367491d81381846f05ad54c45e/detection

 

[JennyCB]

Die Seite leitet hier nichts weiter. Direkter Download-Link. Aber Kaspersky sollen wir ja nicht kommentieren.

 

[IT-T0bi]

Die Seite leitet hier nichts weiter. Direkter Download-Link. Aber Kaspersky sollen wir ja nicht kommentieren.

Seltsam das der Redirect via curl und allen anderen Redirect Checkern sichtbar ist:
https://urlscan.io/result/2204dee8-b15b-4063-a521-1029ea48dd6d/#transactions

 

[Helge01]

Bei mir wird die Seite auch nicht weitergeleitet.
https://www.7-zip.org/a/7z1900-x64.exe
Doch wird sie:
https://raw.githubusercontent.com/ip7z/a/main/7z1900-x64.exe

 

[tollertyp]

Die Seite leitet implizit darauf. Der Inhalt beider Dateien ist aber identisch.

Nur weil der Browser euch die Information verschleiert, heißt es nicht, dass im Hintergrund keine Weiterleitungen stattfinden könnten...

@IT-T0bi:
Ändert aber nichts daran: Die Dateien, egal welche der URLs verwendet werden, sind identisch. Und die Scan-Ergebnsise habe ich oben schon gepostet. Warum du immer noch nicht deine Datei dort zum Scan hochgeladen hast und die Diskussion, ob es eine Umleitung gibt oder nicht für dich wichtiger ist, musst du selbst wissen.

 

[JennyCB]

Unter Linux und uBlock bekomme ich keine Weiterleitung. Nur den direkten "Speichern unter...."

 

[IT-T0bi]

Die Seite leitet implizit darauf. Der Inhalt beider Dateien ist aber identisch.
Anhang anzeigen 1119416


Nur weil der Browser euch die Information verschleiert, heißt es nicht, dass im Hintergrund keine Weiterleitungen stattfinden könnten...

@IT-T0bi:
Ändert aber nichts daran: Die Dateien, egal welche der URLs verwendet werden, sind identisch. Und die Scan-Ergebnsise habe ich oben schon gepostet. Warum du immer noch nicht deine Datei dort zum Scan hochgeladen hast und die Diskussion, ob es eine Umleitung gibt oder nicht für dich wichtiger ist, musst du selbst wissen.

Das hatte ich bereits. Hat den gleichen Hashwert

 

[Der Lord]

@JennyCB nicht jede Weiterleitung poppt mit großer Meldung entgegen, das können Webserver auch unbemerkt.

Und auch unter Linux wird natürlich umgeleitet.
Auszug:

< HTTP/1.1 302 Moved Temporarily
< Server: nginx/1.14.1
< Date: Fri, 03 Sep 2021 12:52:27 GMT
< Content-Type: text/html
< Content-Length: 161
< Connection: keep-alive
< Location: https://github.com/ip7z/a/raw/main/7z1900-x64.exe

Das ist eine ganz normale Technik eines jeden Webservers.

Back to topic: ich würde mich auch eher auf das Sammelergebnis von virustotal als auf Kaspersky (Kommentar dazu spare ich mir) verlassen. Die Datei und der Git-Content sind sauber.

 

[tollertyp]

Dann passt doch alles?

Und naja, zu Kasparsky sag ich nichts mehr, was du nicht eh schon weißt.

Edit:
Man kann sich sogar im Alternate Data Stream die URL anschauen, von der das stammt:
auf der Kommandozeile im Downloads-Ordner:

....\Downloads>notepad 7z1900-x64.exe:Zone.Identifier:$DATA

 

[JennyCB]

Auch unter Windows 10 kommt keine Weiterleitung.

 

[purzelbär]

Schon mal auf die Idee gekommen, 7zip direkt auf deren Homepage: https://www.7-zip.de/ runter zu laden?

 

[Der Lord]

Okay Jenny, dann macht der Webserver nur bei dir eine Ausnahme und bei allen anderen nicht. Belassen wir's dabei, sonst drehen wir uns noch ewig im Kreis - wurde nun schon oft genug mit Screens und Logs bestätigt.

edit: @purzelbär dort ists aber ebenso auf https://7-zip.org/a/7z1900-x64.exe und damit auf Github verlinkt.

 

[IT-T0bi]

Gut kann dann auch geclosed werden.

@JennyCB der Redirect erfolgt implizit seitens Webserver. Sprich es ist nicht direkt ersichtlich. Du kannst ja mal den Downloadlink unter den Reiter 'Downloads' kopieren, dann sollte da auch github stehen

 

[purzelbär]

Hier bei computerbase kann man es auch runterladen: https://www.computerbase.de/downloads/office/packprogramme/7-zip/

 

[tollertyp]

@JennyCB: Schau dir mal den ADS an, den Befehl hab ich oben geschrieben. Falls es dein Weltbild nicht zerstört.

@purzelbär: Danke, ich glaube iwr haben jetzt genug Download-Möglichkeiten genannt, schon im Ursprungspost hatte der TE bereits ausreichend Möglichkeiten dargelegt.