<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<p>Bonjour,</p>
<p>Même constat pour F-Secure.</p>
<p>Après soumission, les exe ont été reclassés.</p>
<p>Leurs définitions ont été mises à jour en conséquence.<br>
</p>
<pre class="moz-signature" cols="72">
Cordialement
</pre>
<div class="moz-cite-prefix">Le 22/03/2018 à 11:34, Nathanaël
HANNEBERT a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:AM5PR04MB32493D5380620B38F6742452F3A90@AM5PR04MB3249.eurprd04.prod.outlook.com">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered
medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
{mso-style-priority:99;
mso-style-link:"Texte brut Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
span.TextebrutCar
{mso-style-name:"Texte brut Car";
mso-style-priority:99;
mso-style-link:"Texte brut";
font-family:"Calibri",sans-serif;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div class="WordSection1">
<p class="MsoPlainText">Bonjour à tous, <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Pour information, voici le retour de
notre antivirus, ESET :
<o:p></o:p></p>
<p class="MsoPlainText"><i>It is NOT virus/malware. It is not
detected as malware. It is not detected by default.<o:p></o:p></i></p>
<p class="MsoPlainText"><i>It is clean application abused by
malware, therefore detected as potentially unsafe
application.<o:p></o:p></i></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Je précise que nous avons activé une
option de détection plus stricte que seulement les virus.
C’est une détection des éléments comme les toolbars, les
search engines, etc :
<o:p></o:p></p>
<p class="MsoPlainText"><i>Detection of potentially unsafe
applications is optional and disabled by default. It needs
to be enabled by the user on purpose.<o:p></o:p></i></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Bien cordialement, <o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Nathanaël<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span style="mso-fareast-language:FR">-----Message
d'origine-----<br>
De : WAPT <a class="moz-txt-link-rfc2396E" href="mailto:wapt-bounces@lists.tranquil.it"><wapt-bounces@lists.tranquil.it></a> De la part
de Nathanaël HANNEBERT<br>
Envoyé : vendredi 16 mars 2018 15:22<br>
À : Denis Cardon <a class="moz-txt-link-rfc2396E" href="mailto:dcardon@tranquil.it"><dcardon@tranquil.it></a>;
<a class="moz-txt-link-abbreviated" href="mailto:wapt@lists.tranquil.it">wapt@lists.tranquil.it</a><br>
Objet : Re: [Wapt] Version 1.5 - NSSM détecté par
l'antivirus</span></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Bonjour Denis,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Merci pour les deux réponses complètes.<o:p></o:p></p>
<p class="MsoPlainText">Je suis en attente d'une réanalyse de
nssm.exe de la part des techniciens supports d'ESET.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Bien cordialement,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Nathanaël<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Message d'origine-----<o:p></o:p></p>
<p class="MsoPlainText">De : Denis Cardon <<a
href="mailto:dcardon@tranquil.it" moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">dcardon@tranquil.it</span></a>><o:p></o:p></p>
<p class="MsoPlainText">Envoyé : jeudi 15 mars 2018 12:36<o:p></o:p></p>
<p class="MsoPlainText">À : Nathanaël HANNEBERT <<a
href="mailto:nhannebert@cabinet-lefeuvre.com"
moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">nhannebert@cabinet-lefeuvre.com</span></a>>;
<a href="mailto:wapt@lists.tranquil.it" moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">wapt@lists.tranquil.it</span></a>
Objet : Re: [Wapt] Version 1.5 - NSSM détecté par l'antivirus<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">reBonjour Nathanaël,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">>> Je viens de mette à jour en
version 1.5 le server (debian 9).<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Lors de l’installation de
l’agent nouvellement créé l’antivirus que
<o:p></o:p></p>
<p class="MsoPlainText">>> nous avons (eset) détecte
nssm.exe comme un virus, le supprime, ce
<o:p></o:p></p>
<p class="MsoPlainText">>> qui bloque l’installation
silencieuse.<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Voici le hash du fichier
E0B966CFBE9E804319CFD3B756B12AD8A2294B24 et
<o:p></o:p></p>
<p class="MsoPlainText">>> un lien vers la page sur Virus
Toal<o:p></o:p></p>
<p class="MsoPlainText">>>
E0B966CFBE9E804319CFD3B756B12AD8A2294B24<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> <a
href="https://www.virustotal.com/#/file/682f1025b4c410ae78b1c5bdc4de7ad315f"
moz-do-not-send="true">
<span style="color:windowtext;text-decoration:none">https://www.virustotal.com/#/file/682f1025b4c410ae78b1c5bdc4de7ad315f</span></a><o:p></o:p></p>
<p class="MsoPlainText">>>
2eff292c66947c13969930028c98d/detection<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Que dois-je en penser ? Comment
s’assurer de la fiabilité de NSSM ?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Alexandre m'a fait remarquer qu'il y a
le même problème entre les antivirus et VMWare Horizon View,
et que VMWare demande dans sa base de connaissance de
whitelister ces exe, et notamment nssm.exe pour le bon
fonctionnement du serveur horizon :-)<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><a
href="https://kb.vmware.com/s/article/2082045"
moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">https://kb.vmware.com/s/article/2082045</span></a><o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Cordialement,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Denis<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> A part ESET, il n'y a que des
antivirus peut connu dans cette liste de
<o:p></o:p></p>
<p class="MsoPlainText">> VirusTotal que vous avez envoyé...
Mais bon, à la décharge d'ESET, ce
<o:p></o:p></p>
<p class="MsoPlainText">> n'est pas le seul antivirus qui a
posé problème dans le passé.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Que faut il en penser? La première
chose est de se demander s'il n'y a
<o:p></o:p></p>
<p class="MsoPlainText">> pas eu une "supply chain attack"
[1]. Donc la première chose à faire
<o:p></o:p></p>
<p class="MsoPlainText">> est de vérifier si le binaire que
vous avez est bien le même que celui
<o:p></o:p></p>
<p class="MsoPlainText">> qui est récupéré par le build de
WAPT, ce qui est le cas (c'est le
<o:p></o:p></p>
<p class="MsoPlainText">> binaire 32bit qui est dans l'agent
WAPT).<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Le binaire NSSM qui est intégré à
WAPT est téléchargé au moment du
<o:p></o:p></p>
<p class="MsoPlainText">> build avec vérification de hash :<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> <a
href="https://github.com/tranquilit/WAPT/blob/master/update_binaries.py#L67"
moz-do-not-send="true">
<span style="color:windowtext;text-decoration:none">https://github.com/tranquilit/WAPT/blob/master/update_binaries.py#L67</span></a><o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Après vous pourriez penser à une
"supply chain attack" sur le site
<o:p></o:p></p>
<p class="MsoPlainText">> NSSM, mais le build de WAPT utilise
cette même version de NSSM depuis
<o:p></o:p></p>
<p class="MsoPlainText">> assez longtemps, ce qui rend la
chose improbable.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Pour information, c'est le même
binaire NSSM que celui utilisé dans la
<o:p></o:p></p>
<p class="MsoPlainText">> version WAPT Enterprise 1.5.0.13
certifié CSPN.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Donc la seule chose que vous pouvez
en penser, c'est que les antivirus
<o:p></o:p></p>
<p class="MsoPlainText">> ne sont malheureusement pas
forcément très intelligent. Probablement
<o:p></o:p></p>
<p class="MsoPlainText">> que NSSM a été utilisé par un
malware quelconque, et que par la suite
<o:p></o:p></p>
<p class="MsoPlainText">> certain antivirus ont flaggé tous
les binaires NSSM comme des malware
<o:p></o:p></p>
<p class="MsoPlainText">> par la suite.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Pour la petite histoire, les
binaires exe WAPT sont buildés avec
<o:p></o:p></p>
<p class="MsoPlainText">> Lazarus, et l'icône par défaut des
programmes Lazarus est une petite
<o:p></o:p></p>
<p class="MsoPlainText">> patte de chat[2]. Beaucoup
d'antivirus catégorisent en virus les
<o:p></o:p></p>
<p class="MsoPlainText">> programmes qui ont cet icône, car
probablement dans le passé un virus
<o:p></o:p></p>
<p class="MsoPlainText">> a été écrit avec l'environnement de
développement Lazarus... Le
<o:p></o:p></p>
<p class="MsoPlainText">> remplacement de l'icône "petite
patte de chat" par une autre icône
<o:p></o:p></p>
<p class="MsoPlainText">> avait résolu le problème. Je vous
laisse imaginer ce que l'on peut en penser.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Il est important de remonter à ESET
ce "false positive". En tant que
<o:p></o:p></p>
<p class="MsoPlainText">> client ESET, il devrait prendre vos
retours en compte.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Cordialement,<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Denis<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> [1] <a
href="https://en.wikipedia.org/wiki/Supply_chain_attack"
moz-do-not-send="true">
<span style="color:windowtext;text-decoration:none">https://en.wikipedia.org/wiki/Supply_chain_attack</span></a><o:p></o:p></p>
<p class="MsoPlainText">> [2]<o:p></o:p></p>
<p class="MsoPlainText">> <a
href="http://wiki.freepascal.org/File:Lazarus-icons-exe-proposal-bpsoftware"
moz-do-not-send="true">
<span style="color:windowtext;text-decoration:none">http://wiki.freepascal.org/File:Lazarus-icons-exe-proposal-bpsoftware</span></a>.<o:p></o:p></p>
<p class="MsoPlainText">> png<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Merci à chacun,<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>> Nathanaël<o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">>>
_______________________________________________<o:p></o:p></p>
<p class="MsoPlainText">>> WAPT mailing list<o:p></o:p></p>
<p class="MsoPlainText">>> <a
href="mailto:WAPT@lists.tranquil.it" moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">WAPT@lists.tranquil.it</span></a><o:p></o:p></p>
<p class="MsoPlainText">>> <a
href="http://lists.tranquil.it/listinfo/wapt"
moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">http://lists.tranquil.it/listinfo/wapt</span></a><o:p></o:p></p>
<p class="MsoPlainText">>><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">--<o:p></o:p></p>
<p class="MsoPlainText">Denis Cardon<o:p></o:p></p>
<p class="MsoPlainText">Tranquil IT Systems<o:p></o:p></p>
<p class="MsoPlainText">Les Espaces Jules Verne, bâtiment A<o:p></o:p></p>
<p class="MsoPlainText">12 avenue Jules Verne<o:p></o:p></p>
<p class="MsoPlainText">44230 Saint Sébastien sur Loire<o:p></o:p></p>
<p class="MsoPlainText">tel : +33 (0) 2.40.97.57.55<o:p></o:p></p>
<p class="MsoPlainText"><a href="http://www.tranquil.it"
moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">http://www.tranquil.it</span></a><o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Samba install wiki for Frenchies : <a
href="https://dev.tranquil.it" moz-do-not-send="true">
<span style="color:windowtext;text-decoration:none">https://dev.tranquil.it</span></a>
WAPT, software deployment made easy :
<a href="https://wapt.fr" moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">https://wapt.fr</span></a>
_______________________________________________<o:p></o:p></p>
<p class="MsoPlainText">WAPT mailing list<o:p></o:p></p>
<p class="MsoPlainText"><a href="mailto:WAPT@lists.tranquil.it"
moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">WAPT@lists.tranquil.it</span></a><o:p></o:p></p>
<p class="MsoPlainText"><a
href="http://lists.tranquil.it/listinfo/wapt"
moz-do-not-send="true"><span
style="color:windowtext;text-decoration:none">http://lists.tranquil.it/listinfo/wapt</span></a><o:p></o:p></p>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
WAPT mailing list
<a class="moz-txt-link-abbreviated" href="mailto:WAPT@lists.tranquil.it">WAPT@lists.tranquil.it</a>
<a class="moz-txt-link-freetext" href="http://lists.tranquil.it/listinfo/wapt">http://lists.tranquil.it/listinfo/wapt</a>
</pre>
</blockquote>
<br>
<HR>Merci de nous aider à préserver l'environnement en n'imprimant ce courriel et les documents joints que si nécessaire.<BR>
</body>
</html>