AVG 7.5 / 8.0 e aaaamon.dll. Molto falso. Poco positivo

AVG logo Pensavo di andare al mare invece son qui con i (falsi**) troiani.

Sulla macchina con Windows XP ho appena ricevuto la segnalazione della presenza di un virus in windowssystem32aaaamon.dll (e nel corrispondente in dllcache).

In genere sto parecchio attento alle cose che faccio girare sulle mie macchine, ma oggi AVG 8.0.138 ha sentenziato la presenza di un Trojan horse patched_c.YL. Ok niente panico…

aaaamon.dll (Aaaa Monitor Library), sebbene abbia un nome a dir poco buffo, pare che sia necessario al gioiellino del colosso di Redmond; per questo non posso permettere all’antivirus di spazzarlo via come se niente fosse, ergo:

  1. metto una copia del file nella Virus Vault
  2. cerco una copia “pulita” di aaaamon.dll
  3. rimpiazzo il file. riavvio XP. funziona. ma…

[nota: c’è un grave errore in questi passi (riesci a trovarlo?), ma non ho avuto tempo]

Un minuto dopo ricevo di nuovo il messaggio “Threat Detected! Trojan horse patched_c…”. Argh!

Sempre su aaaamon.dll (la versione appena scaricata(?)), da aspettarselo. Ecchediamine.

Il Send to analysis della Virus Vault — non trovo modo migliore per comunicare con la AVG Technologies al riguardo — in questo momento continua a fallire (banda ricolma – non mi stupisco).

Provo a cercare informazioni sul forum di AVG Free, e trovo il messaggio (fresco) di un utente che riferisce della “presenza” di un misterioso Trojan horse patched_c.XL(?) su tutti i PC della sua rete.

Pare un caso di falso positivo su un file sostituito di recente da Windows Update.

aggiornamento: in Virus Total aaaamon.dll riceve un 1/36 (AVG 8.0.0.161 Patched_c.YL)

riassumendo (sono le 17:00) quanto appreso:

  • aaaamon.dll è una libreria importante per Windows XP
  • AVG probabilmente non si sta comportando in modo corretto (incorrendo in un falso positivo)
  • meglio attendere il prossimo aggiornamento di AVG, e non fare nulla (Ignore)
  • se serve è possibile ripristinare il file dalla quarantena (Virus Vault > Restore)
  • infine si può provare a escludere aaaamon.dll dalla scansione automatica inserendolo* in:

    Tools > Advanced AVG Settings > Resident Shield > Exceptions

* bisogna inserire (tutta) la directory windowssystem32

aggiornamento: il thread sulla questione è scomparso dal forum di AVG Free…

** epilogo (o quasi) — comunicazione ufficiale: aaaamon.dll (Trojan[…]) – Falso Positivo

Nella mattina del giorno 20/08/2008 è stato rilasciato un’aggiornamento di DB di virus che conteneva il rilevamento erroneo del file di sistema aaaamon.dll come infetto da Tojan Patched_c.YL . Questo si tratta di un Falso Positivo.

E’ curioso. L’archivio aaaamon.zip [ http://www.avg.it/download/tools/aaaamon.zip ] linkato sul sito italiano della Grisoft (aka AVG Technologies) contiene una versione della libreria diversa da quella contenuta nella mia Vault (Cronologia > Quarantena virus)

versione originale: aaaamon.dll — 26624 byte / MD5 sum 20e8fbf0fc7a95438bcee02febd60f86*

versione su avg.it: aaaamon.dll — 25600 byte / MD5 sum 12b4c8208b5146c8d17f3f502e00a540

è probabile che sia quella presente sul sito dll-coso. Infatti…

versione dlldump: aaaamon.dll — 25600 byte / MD5 sum 12b4c8208b5146c8d17f3f502e00a540

In attesa della “correzione”, stupito, chiudo il post 😉

This entry was posted in Null. Bookmark the permalink.

Leave a Reply