Ventoy: Verdacht auf Malware

Bei einer heute erschienenen ventoy-Version erkennen 7 von 59 Scannern Malware. Bis auf einen gewissen Stamm wechseln Scanner stetig, es sind ~70 (und die haben mit Sicherheit nicht alle eigene Engines und kupfern eher von großen ab), es arbeiten aber quasi nie sämtliche zum Zeitpunkt des jeweiligen Scans, daher in diesem Fall nur 59.

Genauer gesagt ist es ventoy-1.0.30-linux.tar.gz. Frühere Versionen und (ausgerechnet) ventoy-1.0.30-windows.zip werden nicht bemängelt, also auch nicht jetzt mit erneutem Scan.

Nun muß man sowas zu werten wissen. Schon die unterschiedlichen Ausgaben, PUP und Trojan sind in ihrer möglichen Gefährdung ja nun nicht gleich zu bewerten.

So fällt auf, daß bestimmte hierzulande unbekannte oft chinesische Scanner offenbar aus Prinzip manche Software als maliziös deklarieren, wenn diese vermutlich dortiger Politik ein Dorn im Auge ist. Manche behandeln bestimmte Software auch als bösartig, nur weil man damit wie mit jedem Werkzeug auch schädliches/kriminelles anfangen kann.

Ein gutes Beispiel ist upx, ein sehr guter Packer für ausführbare Dateien. Signaturbasierte Scanner können so natürlich nichts mehr erkennen. Die erkennen aber upx-gepackte Dateien und deklarieren die kurzerhand als infiziert, was so selbstredend Unsinn ist.

Gerade mit upx 3.96 habe ich mir das näher angesehen, natürlich in einer abgeschotteten VM. Einige Versionen sind als clean durchgegangen, andere von immer gleichen (unbedeutenden) Scannern bemängelt worden. Die upx-Binaries selbst sind upx-gepackt. Die entpackt und schon hat nur noch ein Scanner detected. Weiße Bescheid.

Zur vollständigen Funktion wie Stift-/Fingerbedienung sog. elektronischer Tafeln (Beamer mit Tafeln oder auch große Touchscreen-PCs) muß zugehörige Software installiert werden. Dort habe ich es erlebt, daß direkt nach Anstoß der Installation (logischerweise alles original vom namhaften japanischen Hersteller) Files nicht mehr gefunden worden sind. Hm? Kaspersky Endpoint Security hat etwas erkannt und kurzerhand alles in Quarantäne geschoben. Auf virustotal.com gecheckt hat grausiges ergeben, knapp 40 Scanner haben angeschlagen gehabt und diesmal eben auch die großen wie Kaspersky.

Nachdem die deutsche Abteilung auf meine Anfrage nicht reagiert gehabt hat, habe ich den Support in Japan angeschrieben gehabt (mit Zaunspfahl, daß noch mehr Tafeln angeschafft werden sollen, eigentlich…von denen). Die haben sich genauso in Schweigen gehüllt, aber wie durch ein Wunder hat zwei Wochen darauf bei denselben Archiven nur noch eine Handvoll Scanner angeschlagen, sämtliche bedeutenden haben durchgewinkt. Man hat also reagiert und offenbar “false positives”-Erkennungen korrigiert.

Bei dieser ventoy-Version wissen wir’s noch nicht. Ich habe den Programmierer in China angeschrieben. Solange es keine Klärung gibt, sollte besagtes Archiv nicht verwendet werden. Die bisherige Version tut’s auch.

An der Stelle mal ein Lob an René Mach. Ich habe ihn August voriges Jahr wegen einer virustotal.com-Erkennung in TV-Browser angeschrieben gehabt. Er hat direkt und zeitnah geantwortet, er bzw. das Team haben verantwortungsvoll reagiert und die schon sehr lange bestehende externe und auch in vielen Java-Projekten anderer verwendete Komponente in TV-Browser entfernt.

·

2020-12-23: Siehe auch Ventoy: Verdacht auf Malware #2