{"id":5791,"date":"2020-12-12T14:30:03","date_gmt":"2020-12-12T13:30:03","guid":{"rendered":"https:\/\/axebase.net\/blog\/?p=5791"},"modified":"2021-11-12T17:38:46","modified_gmt":"2021-11-12T16:38:46","slug":"ventoy-verdacht-auf-malware","status":"publish","type":"post","link":"https:\/\/axebase.net\/blog\/2020\/12\/12\/ventoy-verdacht-auf-malware\/","title":{"rendered":"Ventoy: Verdacht auf Malware"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Bei einer heute erschienenen ventoy<\/a>-Version erkennen 7 von 59 Scannern Malware<\/a>. Bis auf einen gewissen Stamm wechseln Scanner stetig, es sind ~70 (und die haben mit Sicherheit nicht alle eigene Engines und kupfern eher von gro\u00dfen ab), es arbeiten aber quasi nie s\u00e4mtliche zum Zeitpunkt des jeweiligen Scans, daher in diesem Fall nur 59.<\/p>\n

Genauer gesagt ist es ventoy-1.0.30-linux.tar.gz<\/strong>. Fr\u00fchere Versionen und (ausgerechnet) ventoy-1.0.30-windows.zip werden nicht bem\u00e4ngelt, also auch nicht jetzt mit erneutem Scan.<\/p>\n

Nun mu\u00df man sowas zu werten wissen. Schon die unterschiedlichen Ausgaben, PUP und Trojan sind in ihrer m\u00f6glichen Gef\u00e4hrdung ja nun nicht gleich zu bewerten.<\/p>\n

So f\u00e4llt auf, da\u00df bestimmte hierzulande unbekannte oft chinesische Scanner offenbar aus Prinzip manche Software als malizi\u00f6s deklarieren, wenn diese vermutlich dortiger Politik ein Dorn im Auge ist. Manche behandeln bestimmte Software auch als b\u00f6sartig, nur weil man damit wie mit jedem Werkzeug auch sch\u00e4dliches\/kriminelles anfangen kann.<\/p>\n

Ein gutes Beispiel ist upx, ein sehr guter Packer f\u00fcr ausf\u00fchrbare Dateien. Signaturbasierte Scanner k\u00f6nnen so nat\u00fcrlich nichts mehr erkennen. Die erkennen aber upx-gepackte Dateien und deklarieren die kurzerhand als infiziert, was so selbstredend Unsinn ist.<\/p>\n

Gerade mit upx<\/a> 3.96 habe ich mir das n\u00e4her angesehen, nat\u00fcrlich in einer abgeschotteten VM. Einige Versionen sind als clean durchgegangen, andere von immer gleichen (unbedeutenden) Scannern bem\u00e4ngelt worden. Die upx-Binaries selbst sind upx-gepackt. Die entpackt und schon hat nur noch ein Scanner detected. Wei\u00dfe Bescheid.<\/p>\n

Zur vollst\u00e4ndigen Funktion wie Stift-\/Fingerbedienung sog. elektronischer Tafeln (Beamer mit Tafeln oder auch gro\u00dfe Touchscreen-PCs) mu\u00df zugeh\u00f6rige Software installiert werden. Dort habe ich es erlebt, da\u00df direkt nach Ansto\u00df der Installation (logischerweise alles original vom namhaften japanischen Hersteller) Files nicht mehr gefunden worden sind. Hm? Kaspersky Endpoint Security hat etwas erkannt und kurzerhand alles in Quarant\u00e4ne geschoben. Auf virustotal.com gecheckt hat grausiges ergeben, knapp 40 Scanner haben angeschlagen gehabt und diesmal eben auch die gro\u00dfen wie Kaspersky.<\/p>\n

Nachdem die deutsche Abteilung auf meine Anfrage nicht reagiert gehabt hat, habe ich den Support in Japan angeschrieben gehabt (mit Zaunspfahl, da\u00df noch mehr Tafeln angeschafft werden sollen, eigentlich…von denen). Die haben sich genauso in Schweigen geh\u00fcllt, aber wie durch ein Wunder hat zwei Wochen darauf bei denselben Archiven nur noch eine Handvoll Scanner angeschlagen, s\u00e4mtliche bedeutenden haben durchgewinkt. Man hat also reagiert und offenbar “false positives”-Erkennungen korrigiert.<\/p>\n

Bei dieser ventoy-Version wissen wir’s noch nicht. Ich habe den Programmierer in China angeschrieben. Solange es keine Kl\u00e4rung gibt, sollte besagtes Archiv nicht verwendet werden. Die bisherige Version tut’s auch.<\/p>\n

An der Stelle mal ein Lob an Ren\u00e9 Mach. Ich habe ihn August voriges Jahr wegen einer virustotal.com-Erkennung in TV-Browser<\/a> angeschrieben gehabt. Er hat direkt und zeitnah geantwortet, er bzw. das Team haben verantwortungsvoll reagiert und die schon sehr lange bestehende externe und auch in vielen Java-Projekten anderer verwendete Komponente in TV-Browser entfernt.<\/p>\n

\u00b7<\/p>\n

2021-11-12:<\/em> Es geht weiter: Ventoy: Verdacht auf Malware #3<\/a>
\n2020-12-23:<\/em> Siehe auch Ventoy: Verdacht auf Malware #2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Bei einer heute erschienenen ventoy-Version erkennen 7 von 59 Scannern Malware. Bis auf einen gewissen Stamm wechseln Scanner stetig, es sind ~70 (und die haben mit Sicherheit nicht alle eigene Engines und kupfern eher von gro\u00dfen ab), es arbeiten aber quasi nie s\u00e4mtliche zum Zeitpunkt des jeweiligen Scans, daher in diesem Fall nur 59. Genauer […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","footnotes":""},"categories":[2,5],"tags":[],"class_list":["post-5791","post","type-post","status-publish","format-standard","hentry","category-computer","category-linux"],"_links":{"self":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts\/5791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/comments?post=5791"}],"version-history":[{"count":2,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts\/5791\/revisions"}],"predecessor-version":[{"id":6090,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/posts\/5791\/revisions\/6090"}],"wp:attachment":[{"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/media?parent=5791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/categories?post=5791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/axebase.net\/blog\/wp-json\/wp\/v2\/tags?post=5791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}