[Wapt] Version 1.5 - NSSM détecté par l'antivirus

Denis Cardon dcardon at tranquil.it
Thu Mar 15 09:55:32 CET 2018 

Bonjour Nathanaël,

> Je viens de mette à jour en version 1.5 le server (debian 9).
>
> Lors de l’installation de l’agent nouvellement créé l’antivirus que nous
> avons (eset) détecte nssm.exe comme un virus, le supprime, ce qui bloque
> l’installation silencieuse.
>
> Voici le hash du fichier E0B966CFBE9E804319CFD3B756B12AD8A2294B24 et un
> lien vers la page sur Virus Toal E0B966CFBE9E804319CFD3B756B12AD8A2294B24
>
> https://www.virustotal.com/#/file/682f1025b4c410ae78b1c5bdc4de7ad315f2eff292c66947c13969930028c98d/detection
> Que dois-je en penser ? Comment s’assurer de la fiabilité de NSSM ?

A part ESET, il n'y a que des antivirus peut connu dans cette liste de 
VirusTotal que vous avez envoyé... Mais bon, à la décharge d'ESET, ce 
n'est pas le seul antivirus qui a posé problème dans le passé.

Que faut il en penser? La première chose est de se demander s'il n'y a 
pas eu une "supply chain attack" [1]. Donc la première chose à faire est 
de vérifier si le binaire que vous avez est bien le même que celui qui 
est récupéré par le build de WAPT, ce qui est le cas (c'est le binaire 
32bit qui est dans l'agent WAPT).

Le binaire NSSM qui est intégré à WAPT est téléchargé au moment du build 
avec vérification de hash :

https://github.com/tranquilit/WAPT/blob/master/update_binaries.py#L67

Après vous pourriez penser à une "supply chain attack" sur le site NSSM, 
mais le build de WAPT utilise cette même version de NSSM depuis assez 
longtemps, ce qui rend la chose improbable.

Pour information, c'est le même binaire NSSM que celui utilisé dans la 
version WAPT Enterprise 1.5.0.13 certifié CSPN.

Donc la seule chose que vous pouvez en penser, c'est que les antivirus 
ne sont malheureusement pas forcément très intelligent. Probablement que 
NSSM a été utilisé par un malware quelconque, et que par la suite 
certain antivirus ont flaggé tous les binaires NSSM comme des malware 
par la suite.

Pour la petite histoire, les binaires exe WAPT sont buildés avec 
Lazarus, et l'icône par défaut des programmes Lazarus est une petite 
patte de chat[2]. Beaucoup d'antivirus catégorisent en virus les 
programmes qui ont cet icône, car probablement dans le passé un virus a 
été écrit avec l'environnement de développement Lazarus... Le 
remplacement de l'icône "petite patte de chat" par une autre icône avait 
résolu le problème. Je vous laisse imaginer ce que l'on peut en penser.

Il est important de remonter à ESET ce "false positive". En tant que 
client ESET, il devrait prendre vos retours en compte.

Cordialement,

Denis



[1] https://en.wikipedia.org/wiki/Supply_chain_attack
[2] 
http://wiki.freepascal.org/File:Lazarus-icons-exe-proposal-bpsoftware.png

>
>
> Merci à chacun,
>
> Nathanaël
>
>
>
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
>

-- 
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
http://www.tranquil.it

Samba install wiki for Frenchies : https://dev.tranquil.it
WAPT, software deployment made easy : https://wapt.fr

More information about the WAPT mailing list