Bonjour à tous,
Pour information, voici le retour de notre antivirus, ESET :
It is NOT virus/malware. It is not detected as malware. It is not detected by default.
It is clean application abused by malware, therefore detected as potentially unsafe application.
Je précise que nous avons activé une option de détection plus stricte que seulement les virus. C’est une détection des éléments comme les toolbars, les search engines, etc :
Detection of potentially unsafe applications is optional and disabled by default. It needs to be enabled by the user on purpose.
Bien cordialement,
Nathanaël
-----Message d'origine----- De : WAPT wapt-bounces@lists.tranquil.it De la part de Nathanaël HANNEBERT Envoyé : vendredi 16 mars 2018 15:22 À : Denis Cardon dcardon@tranquil.it; wapt@lists.tranquil.it Objet : Re: [Wapt] Version 1.5 - NSSM détecté par l'antivirus
Bonjour Denis,
Merci pour les deux réponses complètes.
Je suis en attente d'une réanalyse de nssm.exe de la part des techniciens supports d'ESET.
Bien cordialement,
Nathanaël
-----Message d'origine-----
De : Denis Cardon <dcardon@tranquil.itmailto:dcardon@tranquil.it>
Envoyé : jeudi 15 mars 2018 12:36
À : Nathanaël HANNEBERT <nhannebert@cabinet-lefeuvre.commailto:nhannebert@cabinet-lefeuvre.com>; wapt@lists.tranquil.itmailto:wapt@lists.tranquil.it Objet : Re: [Wapt] Version 1.5 - NSSM détecté par l'antivirus
reBonjour Nathanaël,
Je viens de mette à jour en version 1.5 le server (debian 9).
Lors de l’installation de l’agent nouvellement créé l’antivirus que
nous avons (eset) détecte nssm.exe comme un virus, le supprime, ce
qui bloque l’installation silencieuse.
Voici le hash du fichier E0B966CFBE9E804319CFD3B756B12AD8A2294B24 et
un lien vers la page sur Virus Toal
E0B966CFBE9E804319CFD3B756B12AD8A2294B24
https://www.virustotal.com/#/file/682f1025b4c410ae78b1c5bdc4de7ad315f
2eff292c66947c13969930028c98d/detection
Que dois-je en penser ? Comment s’assurer de la fiabilité de NSSM ?
Alexandre m'a fait remarquer qu'il y a le même problème entre les antivirus et VMWare Horizon View, et que VMWare demande dans sa base de connaissance de whitelister ces exe, et notamment nssm.exe pour le bon fonctionnement du serveur horizon :-)
https://kb.vmware.com/s/article/2082045
Cordialement,
Denis
A part ESET, il n'y a que des antivirus peut connu dans cette liste de
VirusTotal que vous avez envoyé... Mais bon, à la décharge d'ESET, ce
n'est pas le seul antivirus qui a posé problème dans le passé.
Que faut il en penser? La première chose est de se demander s'il n'y a
pas eu une "supply chain attack" [1]. Donc la première chose à faire
est de vérifier si le binaire que vous avez est bien le même que celui
qui est récupéré par le build de WAPT, ce qui est le cas (c'est le
binaire 32bit qui est dans l'agent WAPT).
Le binaire NSSM qui est intégré à WAPT est téléchargé au moment du
build avec vérification de hash :
https://github.com/tranquilit/WAPT/blob/master/update_binaries.py#L67
Après vous pourriez penser à une "supply chain attack" sur le site
NSSM, mais le build de WAPT utilise cette même version de NSSM depuis
assez longtemps, ce qui rend la chose improbable.
Pour information, c'est le même binaire NSSM que celui utilisé dans la
version WAPT Enterprise 1.5.0.13 certifié CSPN.
Donc la seule chose que vous pouvez en penser, c'est que les antivirus
ne sont malheureusement pas forcément très intelligent. Probablement
que NSSM a été utilisé par un malware quelconque, et que par la suite
certain antivirus ont flaggé tous les binaires NSSM comme des malware
par la suite.
Pour la petite histoire, les binaires exe WAPT sont buildés avec
Lazarus, et l'icône par défaut des programmes Lazarus est une petite
patte de chat[2]. Beaucoup d'antivirus catégorisent en virus les
programmes qui ont cet icône, car probablement dans le passé un virus
a été écrit avec l'environnement de développement Lazarus... Le
remplacement de l'icône "petite patte de chat" par une autre icône
avait résolu le problème. Je vous laisse imaginer ce que l'on peut en penser.
Il est important de remonter à ESET ce "false positive". En tant que
client ESET, il devrait prendre vos retours en compte.
Cordialement,
Denis
[2]
http://wiki.freepascal.org/File:Lazarus-icons-exe-proposal-bpsoftware.
png
Merci à chacun,
Nathanaël
WAPT mailing list
WAPT@lists.tranquil.itmailto:WAPT@lists.tranquil.it
--
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
Samba install wiki for Frenchies : https://dev.tranquil.it WAPT, software deployment made easy : https://wapt.fr _______________________________________________
WAPT mailing list
WAPT@lists.tranquil.itmailto:WAPT@lists.tranquil.it