[Wapt] Version 1.5 - NSSM détecté par l'antivirus

Xavier Limodin limodin.ext at culture.gouv.fr
Fri May 11 18:20:45 CEST 2018


Bonjour,

Même constat pour F-Secure.

Après soumission, les exe ont été reclassés.

Leurs définitions ont été mises à jour en conséquence.

  

Cordialement

  

Le 22/03/2018 à 11:34, Nathanaël HANNEBERT a écrit :
>
> Bonjour à tous,
>
> Pour information, voici le retour de notre antivirus, ESET :
>
> /It is NOT virus/malware. It is not detected as malware. It is not 
> detected by default./
>
> /It is clean application abused by malware, therefore detected as 
> potentially unsafe application./
>
> Je précise que nous avons activé une option de détection plus stricte 
> que seulement les virus. C’est une détection des éléments comme les 
> toolbars, les search engines, etc :
>
> /Detection of potentially unsafe applications is optional and disabled 
> by default. It needs to be enabled by the user on purpose./
>
> Bien cordialement,
>
> Nathanaël
>
> -----Message d'origine-----
> De : WAPT <wapt-bounces at lists.tranquil.it> De la part de Nathanaël 
> HANNEBERT
> Envoyé : vendredi 16 mars 2018 15:22
> À : Denis Cardon <dcardon at tranquil.it>; wapt at lists.tranquil.it
> Objet : Re: [Wapt] Version 1.5 - NSSM détecté par l'antivirus
>
> Bonjour Denis,
>
> Merci pour les deux réponses complètes.
>
> Je suis en attente d'une réanalyse de nssm.exe de la part des 
> techniciens supports d'ESET.
>
> Bien cordialement,
>
> Nathanaël
>
> -----Message d'origine-----
>
> De : Denis Cardon <dcardon at tranquil.it <mailto:dcardon at tranquil.it>>
>
> Envoyé : jeudi 15 mars 2018 12:36
>
> À : Nathanaël HANNEBERT <nhannebert at cabinet-lefeuvre.com 
> <mailto:nhannebert at cabinet-lefeuvre.com>>; wapt at lists.tranquil.it 
> <mailto:wapt at lists.tranquil.it> Objet : Re: [Wapt] Version 1.5 - NSSM 
> détecté par l'antivirus
>
> reBonjour Nathanaël,
>
> >> Je viens de mette à jour en version 1.5 le server (debian 9).
>
> >>
>
> >> Lors de l’installation de l’agent nouvellement créé l’antivirus que
>
> >> nous avons (eset) détecte nssm.exe comme un virus, le supprime, ce
>
> >> qui bloque l’installation silencieuse.
>
> >>
>
> >> Voici le hash du fichier E0B966CFBE9E804319CFD3B756B12AD8A2294B24 et
>
> >> un lien vers la page sur Virus Toal
>
> >> E0B966CFBE9E804319CFD3B756B12AD8A2294B24
>
> >>
>
> >> https://www.virustotal.com/#/file/682f1025b4c410ae78b1c5bdc4de7ad315f
>
> >> 2eff292c66947c13969930028c98d/detection
>
> >>
>
> >> Que dois-je en penser ? Comment s’assurer de la fiabilité de NSSM ?
>
> Alexandre m'a fait remarquer qu'il y a le même problème entre les 
> antivirus et VMWare Horizon View, et que VMWare demande dans sa base 
> de connaissance de whitelister ces exe, et notamment nssm.exe pour le 
> bon fonctionnement du serveur horizon :-)
>
> https://kb.vmware.com/s/article/2082045
>
> Cordialement,
>
> Denis
>
> >
>
> > A part ESET, il n'y a que des antivirus peut connu dans cette liste de
>
> > VirusTotal que vous avez envoyé... Mais bon, à la décharge d'ESET, ce
>
> > n'est pas le seul antivirus qui a posé problème dans le passé.
>
> >
>
> > Que faut il en penser? La première chose est de se demander s'il n'y a
>
> > pas eu une "supply chain attack" [1]. Donc la première chose à faire
>
> > est de vérifier si le binaire que vous avez est bien le même que celui
>
> > qui est récupéré par le build de WAPT, ce qui est le cas (c'est le
>
> > binaire 32bit qui est dans l'agent WAPT).
>
> >
>
> > Le binaire NSSM qui est intégré à WAPT est téléchargé au moment du
>
> > build avec vérification de hash :
>
> >
>
> > https://github.com/tranquilit/WAPT/blob/master/update_binaries.py#L67
>
> >
>
> > Après vous pourriez penser à une "supply chain attack" sur le site
>
> > NSSM, mais le build de WAPT utilise cette même version de NSSM depuis
>
> > assez longtemps, ce qui rend la chose improbable.
>
> >
>
> > Pour information, c'est le même binaire NSSM que celui utilisé dans la
>
> > version WAPT Enterprise 1.5.0.13 certifié CSPN.
>
> >
>
> > Donc la seule chose que vous pouvez en penser, c'est que les antivirus
>
> > ne sont malheureusement pas forcément très intelligent. Probablement
>
> > que NSSM a été utilisé par un malware quelconque, et que par la suite
>
> > certain antivirus ont flaggé tous les binaires NSSM comme des malware
>
> > par la suite.
>
> >
>
> > Pour la petite histoire, les binaires exe WAPT sont buildés avec
>
> > Lazarus, et l'icône par défaut des programmes Lazarus est une petite
>
> > patte de chat[2]. Beaucoup d'antivirus catégorisent en virus les
>
> > programmes qui ont cet icône, car probablement dans le passé un virus
>
> > a été écrit avec l'environnement de développement Lazarus... Le
>
> > remplacement de l'icône "petite patte de chat" par une autre icône
>
> > avait résolu le problème. Je vous laisse imaginer ce que l'on peut 
> en penser.
>
> >
>
> > Il est important de remonter à ESET ce "false positive". En tant que
>
> > client ESET, il devrait prendre vos retours en compte.
>
> >
>
> > Cordialement,
>
> >
>
> > Denis
>
> >
>
> >
>
> >
>
> > [1] https://en.wikipedia.org/wiki/Supply_chain_attack
>
> > [2]
>
> > http://wiki.freepascal.org/File:Lazarus-icons-exe-proposal-bpsoftware.
>
> > png
>
> >
>
> >>
>
> >>
>
> >> Merci à chacun,
>
> >>
>
> >> Nathanaël
>
> >>
>
> >>
>
> >>
>
> >>
>
> >>
>
> >> _______________________________________________
>
> >> WAPT mailing list
>
> >> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
>
> >> http://lists.tranquil.it/listinfo/wapt
>
> >>
>
> >
>
> --
>
> Denis Cardon
>
> Tranquil IT Systems
>
> Les Espaces Jules Verne, bâtiment A
>
> 12 avenue Jules Verne
>
> 44230 Saint Sébastien sur Loire
>
> tel : +33 (0) 2.40.97.57.55
>
> http://www.tranquil.it
>
> Samba install wiki for Frenchies : https://dev.tranquil.it WAPT, 
> software deployment made easy : https://wapt.fr 
> _______________________________________________
>
> WAPT mailing list
>
> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
>
> http://lists.tranquil.it/listinfo/wapt
>
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt

----------------------------------------------------------------------
Merci de nous aider à préserver l'environnement en n'imprimant ce courriel et les documents joints que si nécessaire.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20180511/f93bb0a7/attachment.html>


More information about the WAPT mailing list