[Wapt] Version 1.5 - NSSM détecté par l'antivirus

Denis Cardon dcardon at tranquil.it
Sun May 13 14:47:55 CEST 2018


Bonjour Xavier,

> Même constat pour F-Secure.
>
> Après soumission, les exe ont été reclassés.
>
> Leurs définitions ont été mises à jour en conséquence.

merci d'avoir pris le temps de corriger cette catégorisation chez 
F-Secure. J'espère que chaque personne qui a le problème avec son 
antivirus fasse de même et avec la même réussite!

D'une manière générale, les antivirus ne sont vraiment pas très futés... 
A défaut de pouvoir les rendre plus intelligent, je me dis que l'on va 
peut être redévelopper les morceaux qui nous intéresse de NSSM pour 
éviter ces problèmes de faux positifs (pour rappel, NSSM est un wrapper 
de service windows que l'on utilise gérer le démarrage et l'arrêt du 
service python).

Dans la dernière release de WAPT, on a resigné le binaire avec notre 
certificat code signing en espérant que ça améliorerait les choses, mais 
bon...

En tout cas merci pour votre retour,

Cordialement,

Denis


>
>
>
> Cordialement
>
>
>
> Le 22/03/2018 à 11:34, Nathanaël HANNEBERT a écrit :
>>
>> Bonjour à tous,
>>
>>
>>
>> Pour information, voici le retour de notre antivirus, ESET :
>>
>> /It is NOT virus/malware. It is not detected as malware. It is not
>> detected by default./
>>
>> /It is clean application abused by malware, therefore detected as
>> potentially unsafe application./
>>
>>
>>
>> Je précise que nous avons activé une option de détection plus stricte
>> que seulement les virus. C’est une détection des éléments comme les
>> toolbars, les search engines, etc :
>>
>> /Detection of potentially unsafe applications is optional and disabled
>> by default. It needs to be enabled by the user on purpose./
>>
>>
>>
>> Bien cordialement,
>>
>>
>>
>> Nathanaël
>>
>>
>>
>>
>>
>> -----Message d'origine-----
>> De : WAPT <wapt-bounces at lists.tranquil.it> De la part de Nathanaël
>> HANNEBERT
>> Envoyé : vendredi 16 mars 2018 15:22
>> À : Denis Cardon <dcardon at tranquil.it>; wapt at lists.tranquil.it
>> Objet : Re: [Wapt] Version 1.5 - NSSM détecté par l'antivirus
>>
>>
>>
>> Bonjour Denis,
>>
>>
>>
>> Merci pour les deux réponses complètes.
>>
>> Je suis en attente d'une réanalyse de nssm.exe de la part des
>> techniciens supports d'ESET.
>>
>>
>>
>> Bien cordialement,
>>
>>
>>
>> Nathanaël
>>
>>
>>
>>
>>
>>
>>
>> -----Message d'origine-----
>>
>> De : Denis Cardon <dcardon at tranquil.it <mailto:dcardon at tranquil.it>>
>>
>> Envoyé : jeudi 15 mars 2018 12:36
>>
>> À : Nathanaël HANNEBERT <nhannebert at cabinet-lefeuvre.com
>> <mailto:nhannebert at cabinet-lefeuvre.com>>; wapt at lists.tranquil.it
>> <mailto:wapt at lists.tranquil.it> Objet : Re: [Wapt] Version 1.5 - NSSM
>> détecté par l'antivirus
>>
>>
>>
>> reBonjour Nathanaël,
>>
>>
>>
>> >> Je viens de mette à jour en version 1.5 le server (debian 9).
>>
>> >>
>>
>> >> Lors de l’installation de l’agent nouvellement créé l’antivirus que
>>
>> >> nous avons (eset) détecte nssm.exe comme un virus, le supprime, ce
>>
>> >> qui bloque l’installation silencieuse.
>>
>> >>
>>
>> >> Voici le hash du fichier E0B966CFBE9E804319CFD3B756B12AD8A2294B24 et
>>
>> >> un lien vers la page sur Virus Toal
>>
>> >> E0B966CFBE9E804319CFD3B756B12AD8A2294B24
>>
>> >>
>>
>> >> https://www.virustotal.com/#/file/682f1025b4c410ae78b1c5bdc4de7ad315f
>>
>> >> 2eff292c66947c13969930028c98d/detection
>>
>> >>
>>
>> >> Que dois-je en penser ? Comment s’assurer de la fiabilité de NSSM ?
>>
>>
>>
>> Alexandre m'a fait remarquer qu'il y a le même problème entre les
>> antivirus et VMWare Horizon View, et que VMWare demande dans sa base
>> de connaissance de whitelister ces exe, et notamment nssm.exe pour le
>> bon fonctionnement du serveur horizon :-)
>>
>>
>>
>> https://kb.vmware.com/s/article/2082045
>>
>>
>>
>>
>>
>> Cordialement,
>>
>>
>>
>> Denis
>>
>>
>>
>>
>>
>> >
>>
>> > A part ESET, il n'y a que des antivirus peut connu dans cette liste de
>>
>> > VirusTotal que vous avez envoyé... Mais bon, à la décharge d'ESET, ce
>>
>> > n'est pas le seul antivirus qui a posé problème dans le passé.
>>
>> >
>>
>> > Que faut il en penser? La première chose est de se demander s'il n'y a
>>
>> > pas eu une "supply chain attack" [1]. Donc la première chose à faire
>>
>> > est de vérifier si le binaire que vous avez est bien le même que celui
>>
>> > qui est récupéré par le build de WAPT, ce qui est le cas (c'est le
>>
>> > binaire 32bit qui est dans l'agent WAPT).
>>
>> >
>>
>> > Le binaire NSSM qui est intégré à WAPT est téléchargé au moment du
>>
>> > build avec vérification de hash :
>>
>> >
>>
>> > https://github.com/tranquilit/WAPT/blob/master/update_binaries.py#L67
>>
>> >
>>
>> > Après vous pourriez penser à une "supply chain attack" sur le site
>>
>> > NSSM, mais le build de WAPT utilise cette même version de NSSM depuis
>>
>> > assez longtemps, ce qui rend la chose improbable.
>>
>> >
>>
>> > Pour information, c'est le même binaire NSSM que celui utilisé dans la
>>
>> > version WAPT Enterprise 1.5.0.13 certifié CSPN.
>>
>> >
>>
>> > Donc la seule chose que vous pouvez en penser, c'est que les antivirus
>>
>> > ne sont malheureusement pas forcément très intelligent. Probablement
>>
>> > que NSSM a été utilisé par un malware quelconque, et que par la suite
>>
>> > certain antivirus ont flaggé tous les binaires NSSM comme des malware
>>
>> > par la suite.
>>
>> >
>>
>> > Pour la petite histoire, les binaires exe WAPT sont buildés avec
>>
>> > Lazarus, et l'icône par défaut des programmes Lazarus est une petite
>>
>> > patte de chat[2]. Beaucoup d'antivirus catégorisent en virus les
>>
>> > programmes qui ont cet icône, car probablement dans le passé un virus
>>
>> > a été écrit avec l'environnement de développement Lazarus... Le
>>
>> > remplacement de l'icône "petite patte de chat" par une autre icône
>>
>> > avait résolu le problème. Je vous laisse imaginer ce que l'on peut
>> en penser.
>>
>> >
>>
>> > Il est important de remonter à ESET ce "false positive". En tant que
>>
>> > client ESET, il devrait prendre vos retours en compte.
>>
>> >
>>
>> > Cordialement,
>>
>> >
>>
>> > Denis
>>
>> >
>>
>> >
>>
>> >
>>
>> > [1] https://en.wikipedia.org/wiki/Supply_chain_attack
>>
>> > [2]
>>
>> > http://wiki.freepascal.org/File:Lazarus-icons-exe-proposal-bpsoftware.
>>
>> > png
>>
>> >
>>
>> >>
>>
>> >>
>>
>> >> Merci à chacun,
>>
>> >>
>>
>> >> Nathanaël
>>
>> >>
>>
>> >>
>>
>> >>
>>
>> >>
>>
>> >>
>>
>> >> _______________________________________________
>>
>> >> WAPT mailing list
>>
>> >> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
>>
>> >> http://lists.tranquil.it/listinfo/wapt
>>
>> >>
>>
>> >
>>
>>
>>
>> --
>>
>> Denis Cardon
>>
>> Tranquil IT Systems
>>
>> Les Espaces Jules Verne, bâtiment A
>>
>> 12 avenue Jules Verne
>>
>> 44230 Saint Sébastien sur Loire
>>
>> tel : +33 (0) 2.40.97.57.55
>>
>> http://www.tranquil.it
>>
>>
>>
>> Samba install wiki for Frenchies : https://dev.tranquil.it WAPT,
>> software deployment made easy : https://wapt.fr
>> _______________________________________________
>>
>> WAPT mailing list
>>
>> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
>>
>> http://lists.tranquil.it/listinfo/wapt
>>
>>
>>
>> _______________________________________________
>> WAPT mailing list
>> WAPT at lists.tranquil.it
>> http://lists.tranquil.it/listinfo/wapt
>
> ------------------------------------------------------------------------
> Merci de nous aider à préserver l'environnement en n'imprimant ce
> courriel et les documents joints que si nécessaire.
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
>

-- 
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
http://www.tranquil.it

Samba install wiki for Frenchies : https://dev.tranquil.it
WAPT, software deployment made easy : https://wapt.fr


More information about the WAPT mailing list