web-dev-qa-db-fra.com

Windows Defender signale un malware cheval de Troie Win64 / Longage sur le serveur live Ubuntu 18.04.3

Windows Defender 8 décembre 2019 signale Win64/Longage un malware malveillant grave sur le serveur live Ubuntu 18.04.3, fichier:

ubuntu-18.04.3-live-server-AMD64.iso->
pool\main\l\linux\linux-modules-4.15.0-55-generic_4.15.0-55.60_AMD64.deb->data.tar.xz->(xz)->
./lib/modules/4.15.0-55-generic/kernel/drivers/md/raid456.ko

enter image description here

securitymalware
25
Harvey

J'ai reçu exactement le même message aujourd'hui. J'ai à nouveau téléchargé le .iso sur une machine Ubuntu distincte et vérifié la somme de contrôle:

$ echo "b9beac143e36226aa8a0b03fc1cbb5921cff80123866e718aaeba4edb81cfa63 *ubuntu-18.04.3-live-server-AMD64.iso" | shasum -a 256 --check
ubuntu-18.04.3-live-server-AMD64.iso: OK

Après cela, j'ai extrait le fichier en question (raid456.ko) et téléchargé sur virustotal.com: https://www.virustotal.com/gui/file/9443cd40874b29cf452a7af3a033fc72f5afff26e2bfd43ca0dfcf81c5a9127

Il a été analysé pour la dernière fois il y a un mois et tout allait bien. Je l'ai à nouveau analysé et il semble que maintenant Microsoft soit le seul à le détecter en tant que cheval de Troie: Win64/Longage: Capture d'écran

Je dirais que les nouvelles signatures de Microsoft Defender ont déclenché un faux positif ici. Même dans le cas très improbable où Ubuntu aurait intégré un cheval de Troie dans .iso, la machine Windows elle-même n'exécute/ne doit pas exécuter les binaires Linux (ELF) et il n'y a rien à craindre du côté Windows. Cependant, si tel était le cas, nous aurions, bien sûr, un problème beaucoup plus important à craindre.

J'ai soumis ce fichier à Microsoft et l'ai signalé comme faux positif, en utilisant ce lien: https://www.Microsoft.com/en-us/wdsi/filesubmission

Je mettrai à jour cette réponse lorsque/si je reçois une réponse d'un analyste Microsoft.

MISE À JOUR: Aucune réponse de Microsoft pour le moment, mais leur moteur ne détecte plus cela. TrendMicro le fait maintenant. La probabilité qu'il s'agisse d'un faux positif est extrêmement élevée.

MISE À JOUR 2: J'ai également soumis le fichier à TrendMicro hier (pas encore de réponse - ne fera pas de suivi). Je considère que cette affaire est close. Réponse de Microsoft:

Nous avons supprimé la détection. Veuillez suivre les étapes ci-dessous pour effacer la détection mise en cache et obtenir les dernières définitions de logiciels malveillants.

  1. Ouvrez l'invite de commande en tant qu'administrateur et changez le répertoire en c:\Program Files\Windows Defender
  2. Exécutez "MpCmdRun.exe -removedefinitions -dynamicsignatures"
  3. Exécutez "MpCmdRun.exe -SignatureUpdate"

Alternativement, la dernière définition est disponible pour téléchargement ici: https://www.Microsoft.com/en-us/wdsi/definitions

Merci d'avoir contacté Microsoft.

33
shawlees