Avast versucht /etc/passwd zu lesen?

Hallo,

ich habe eine Frage zu meiner Avast AntiVir Installation unter Windows 10.
Ich habe zwischen meiner Fritzbox und dem Rest des Netzes eine Firewall mit Unified Threat Management, die den über sie geleiteten Traffic nach Angriffen und Schwachstellen durchsucht.

Die Firewall ist neulich angeschlagen mit der Meldung mein Windows PC hätte einen Angriff gegen die Fritzbox gefahren. Zuerst dachte ich an einen False Positive, aber als ich mir das gespeicherte PCAP angesehen habe, sah es doch sehr merkwürdig aus…

Wie man in dem PCAP deutlich sehen kann, versucht ein Prozess auf der Fritzbox den URI

/cgi-bin/webproc?getpage=/…/…/etc/passwd&var:language=en_us&var:page=

aufzurufen. Als UserAgent wird “avast! Antivirus” genannt…

Kann sich das einer erklären? Warum versucht Avast die /etc/passwd meiner Fritzbox zu bekommen? (Nicht, dass es funktioniert hätte…)

  • Welches Avast…? (Free/Pro/IS/Premier)
  • Welche Version…?
  • Bzgl. W10… (32/64 Bit…? - welcher Build…?)
  • Andere sicherheitsbezogene Software installiert…?

Willkommen im Forum,
Asyn

Hi Asyn,

danke für Deine Antwort!

Es handelt sich um die folgende Version:

Avast Free Antivirus

Program Version: 11.2.2261
Virus Definition Version: 160426-1
Number of definitions: 3.999.086

OS ist Windows 10 Professional x64, Build 10586.218

Aktuell keine derzeit keine weitere Security-Software installiert, da der Rechner ne eingemottet wird…
Was mich wundet ist, dass die aufgerufene URL, die man im PCAP sieht ja nicht irgendwie “naiv” zusammengebaut wurde, sondern offenbar
ja ganz bewusst so konstruiert wurde.

VG
md78sl

Es hängt vermutlich mit Avast HNS zusammen, ist das Modul installiert…!?

LG Asyn

Hallo Asyn,

hm, gute Frage. Ich habe eine normale Standard-Installation gemacht. Ist das Modul denn bei der kostenlosen Version dabei?
Wie kann ich das prüfen?

VG
md78sl

Hallo,

gehe mal davon aus das HNS Heimnetzwerk-Sicherheit ist. Ob du es installiert hast siehst du unter Einstellungen > Werkzeuge.

TerraX

Ja. (Den Rest hat dir Terra ja schon beantwortet…)

LG Asyn