False Positives von Webseiten bei VirusTotal

[Hello_World]

Hallo zusammen,

ich bin bei weitem kein Experte, versuche aber dennoch das Risiko der Internetnutzung (im Rahmen meiner Möglichkeiten) möglichst gering zu halten.

Da ich mich momentan ein wenig mit KI Bildgenerierung befasse, habe ich bisher Stable Diffusion mit entsprechenden Web UIs genutzt und wollte nun einmal FLUX ausprobieren. Dabei bin ich allerdings auf ein Problem gestoßen, das für mich ganz grundsätzliche Fragen aufwirft.

Die FLUX Version, welche ich nutzen wollte wird von dem User "lllyasviel (Lvmin Zhang)" angeboten. Er scheint in der Community relativ bekannt und auch aktiv zu sein, weshalb ich erst einmal keinen Grund sehe misstrauisch zu sein.

Prüft man die ensprechenden Links aber bei Virustotal, werden sehr unterschiedliche Ergebnisse ausgegeben, so z.B.:
https://huggingface.co/lllyasviel/flux1_dev/tree/main - sauber
https://huggingface.co/lllyasviel/flux1-dev-bnb-nf4/tree/main - 1x malicious
https://huggingface.co/lllyasviel/ - 2x malicious
https://huggingface.co/lllyasviel - 1x suspicious
usw.

Für mich stellt sich nun die Frage, worauf diese Warnungen basieren und ob Sie in diesem Fall wie vermutet wirklich fehlerhaft sind. Denn bei anderen, offensichtlichen Phishingseiten gibt es manchmal ja auch nur einen Vendor, welcher die Seite als problematisch markiert.

Darüber hinaus wäre es interessant, mit welchen Mitteln ich in einem solchen Fall die Seite bzw. die Inhalte noch sinnvollerweise überprüfen kann um festzustellen, ob es sich um eine korrekte oder haltlose Warnung handelt.

viele Grüße

 

[chrigu]

Virustotal überprüft gleichzeitig deine Datei mit mehreren online Scanner. Da jeder virenjäger anders reagiert, hast du auch bei der selben Datei verschiedene Resultate. Was du dann daraus machst ist deine eigene Entscheidung. Keiner kann dir dein Misstrauen nehmen. Weden alle mit grün dargestellt ist die Datei höchstwahrscheinlich ohne Malware, höchstwahrscheinlich.
Sind alle rot ist Malware höchstwahrscheinlich vorhanden.
Sind nur 3 Treffer rot der Rest grün ist die Wahrscheinlichkeit gering.
Das Restrisiko einer fremden Datei wird immer da sein, besonders wenn die aus unbekannten Quellen stammt die du selber nicht kontrollieren kannst

 

[Nero FX]

Virustotal kann nur Schadsoftware erkennen. Heißt du solltest dort das hochladen was du auf deinem Rechner dauerhaft speichern und ausführen möchtest. Die Website so zu prüfen sagt nichts aus.

 

[dms]

Die Website so zu prüfen sagt nichts aus.

jawoll, kleine Verdeutlichung, jeder Webserver ist in der Lage, je nach anfragendem Rechner durchaus anderen Content zu liefern

 

[xxMuahdibxx]

und schon eine andere angezeigte Werbung kann verdächtige Sachen machen ...

erzeugt sie Popups die man selbst wegen Blocker nicht sieht kann sie schon sus sein

 

[Hello_World]

Vielen Dank für die hilfreichen Antworten. Damit komme ich auf jeden Fall schonmal weiter. Dann werde ich es im Falle von Webseiten als Anhaltspunkt nutzen und ansonsten potenziell unsichere Dateien nach dem Download erst einmal prüfen lassen.

 

[purzelbär]

Vielleicht noch ein Tipp Hello World: falls du es noch nicht nutzt, dann installiere mal für deine Browser uBlock Origin bzw uBlock Origin Lite für Chrome.

 

[Schlaflos]

Wichtig zu wissen beim Umgang mit VirusTotal ist auch, wann war der letzte Scan.
Bei z. B. deinem Beispiel mit "2x malicious", lag der letzte Scan über ein Jahr zurück. Nach einem heutigen Scan änderte sich das Ergebnis auf "1x suspicious".

Wenn es um den Scan von Dateien geht, sollte man wissen, dass bei VirusTotal soviel mir bekannt ist nur statische Engines der verschiedenen AV/EDR Anbieter genutzt werden. Es ist hilfreich sich bei VirusTotal einen kostenlosen Account zu erstellen, weil wenn man dort eingeloggt ist, werden einem zusätzliche Informationen angezeigt. Wie z. B. YARA-Regeln. Aus denen kann dann ersichlicht sein, warum z. B. eine AV/EDR Lösung angeschlagen hat.

Gleichzeit können auch VM-Scan-Ergebnisse vorhanden sein, diese sind dann unter einem weieren Reiter einsehbar.

Zusätzlich gibt auch das Label, welches von der AV/EDR Lösung angezeig wird, Aufschluss darüber, was erkannt wurde.

Will man eine URL/Domain genauer betrachten, sei an dieser Stelle https://urlscan.io/ erwähnt.

Bei Erkennungen von URLs/Domains, spielen oft Feeds eine Rolle, werden diese nicht ordentlich gepflegt, können auch alte Einträge zu Warnmeldungen führen, obwohl z. B. eine URL/Domain nicht mehr schädlich ist.

 

[mchawk777]

Virustotal kann nur Schadsoftware erkennen.

Du kannst auch URLs prüfen, wenn Du den korrekten Reiter verwendest. 😉

 

[Nero FX]

@mchawk777

Die Funktion ist mir bekannt.
Das ist aber eigentlich für Downloadlinks gedacht.

Wie schon gesagt wurde kann je nach Client, IP Adresse/Standort etc. und auch Zufallweise ein komplett anderer Inhalt ausgeliefert werden. Siehe Werbebanner, ich bekomme Andere Werbung als du angezeigt.
Was bringt dir also die Aussage von mir das die Seite sauber ist? Bei dir kann Schadsoftware etc. in iFrames etc. integriert sein, vom Zeitfaktor (Inhalt ändert sich nach Zeit wie hier bei CB) wollen wir garnicht reden. Diese Funktion erkennt auch kein Phishing etc. und ob Drive by Downloads von diesen Scanner wirklich angenommen/erkannt werden ist auch nicht sicher.