/dev/null
- Overig
Malware in code blocks?
12-06-2018, 19:41 door Anoniem, 3 reacties
Hallo,
Ik was van plan om codeblocks te installeren,
Na het scannen is er te zien dat er malware in zit.
Heel frappant !
Link: https://www.virustotal.com/nl/file/d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39/analysis/1528824953/
Download link: https://sourceforge.net/projects/codeblocks/files/Binaries/17.12/Windows/codeblocks-17.12mingw-setup.exe/download
Raden jullie het af om het te installeren?
Ik was van plan om codeblocks te installeren,
Na het scannen is er te zien dat er malware in zit.
Heel frappant !
Link: https://www.virustotal.com/nl/file/d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39/analysis/1528824953/
Download link: https://sourceforge.net/projects/codeblocks/files/Binaries/17.12/Windows/codeblocks-17.12mingw-setup.exe/download
Raden jullie het af om het te installeren?
Reacties (3)
Gemakkelijke vraag. Gaat het over je eigen website? Ben je Europeaan? Ben je gehost in Europa? Dan moet jij je gebruikers van te voren melden wat er allemaal voor malware geinstalleerd wordt. Van wie. Wat ze er mee van plan zijn. Et cetera. Je kunt niet meer zeggen dat het uit de lucht kwam vallen en het buiten je macht valt om te weten wat anderen er mee doen. Je moet daar eerst DUBBEL toestemming voor vragen.
Doe je dat niet, dan kan het 4% van je wereldomzet kosten. Of tot 20 miljoen. Die laatste is ook als je helemaal geen omzet hebt en het je alleen maar geld kost.
Er blijft een groep die het leuk vindt juist, om malware te krijgen. Testers van systemen en zo. Die hebben daar misschien zelfs nog geld voor over ook.
In alle andere gevallen niet handig. Zeker niet als je het zelf al weet. Want de malware krijgt misschien een boete. Maar jij zeker, helemaal als je het zelf wist.
Doe je dat niet, dan kan het 4% van je wereldomzet kosten. Of tot 20 miljoen. Die laatste is ook als je helemaal geen omzet hebt en het je alleen maar geld kost.
Er blijft een groep die het leuk vindt juist, om malware te krijgen. Testers van systemen en zo. Die hebben daar misschien zelfs nog geld voor over ook.
In alle andere gevallen niet handig. Zeker niet als je het zelf al weet. Want de malware krijgt misschien een boete. Maar jij zeker, helemaal als je het zelf wist.
Hier is de url scan schoon: https://www.virustotal.com/#/url/908a86552ae74a0c25d5c143e11ee4dd8d1529198bc30657d8bc5d1803c4d0a2/details
Bij flags bij downloads van /sourceforge.net ,zijn deze vaak heuristische generieke detecties of potentieel kwaadaardige met veel ruimte voor een false positief. Bij bepaalde executables, die niet zijn gesigneerd zijn, neemt de scanner het zekere voor het onzekere en geeft een alert. In dit geval niet, alhoewel DrWeb bijvoorbeeld het hele sourceforge.net domein heeft geblacklist als potentieel gevaarlijk.
Bij dit soort files moet je goed weten wat je doet en als je het risico zelf kan inschatten en verantwoord vindt, gaan met die banaan. Of zoek iets dergelijks bij Github met een goede reputatie. Vaak komen generieke detecties voor files die niet gesigneerd zijn of delen van de installer, die dat niet zijn.
luntrus
Bij flags bij downloads van /sourceforge.net ,zijn deze vaak heuristische generieke detecties of potentieel kwaadaardige met veel ruimte voor een false positief. Bij bepaalde executables, die niet zijn gesigneerd zijn, neemt de scanner het zekere voor het onzekere en geeft een alert. In dit geval niet, alhoewel DrWeb bijvoorbeeld het hele sourceforge.net domein heeft geblacklist als potentieel gevaarlijk.
Bij dit soort files moet je goed weten wat je doet en als je het risico zelf kan inschatten en verantwoord vindt, gaan met die banaan. Of zoek iets dergelijks bij Github met een goede reputatie. Vaak komen generieke detecties voor files die niet gesigneerd zijn of delen van de installer, die dat niet zijn.
luntrus
De eerste scan is van 2017-12-30 19:20:00 UTC (https://www.virustotal.com/en/file/d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39/analysis/1514661600/).
De tweede 1 week later (https://www.virustotal.com/en/file/d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39/analysis/1514739731/).
Als er na bijna een half jaar nog steeds 3 scanners zijn die iets menen te vinden (bij een ongewijzigde binary bedoel ik natuurlijk), gaat het zo goed als zeker om suffe false positives. Er zitten 3993 files in het met NSIS ingepakte installatieprogramma, de kans op false positives - met name door de minder bekende virusscanners - is dan aanzienlijk.
De zip file (codeblocks-17.12mingw-nosetup.zip) ruim 5 dagen geleden gescand geeft slechts 2 meldingen (waarbij Cylance sowieso vaak false positives geeft): https://www.virustotal.com/en/file/1b7fbf51afe9b184c6214fe03eb1c16ff6606fcca3a888c6f837d1253fe35054/analysis/1528329916/. Van hieruit kun je individuele files checken (onder tabblad File Detail).
De file "CbLauncher.exe" geeft 2 hits, maar niets waar ik me zorgen over zou maken (https://www.virustotal.com/en/file/9ac0889f3399ff51c6b3fa04c6bbfa923a60cd3ea8aad530c3b2eb8ba887b3a4/analysis/1528280692/).
Ik heb beide packages uitgepakt (met 7-Zip) en vergeleken. In elk geval uninstall.exe (uit de exe file) geeft 2 hits (https://www.virustotal.com/en/file/7c697846dfc0fac6f0ed6f3c4f57d93be6afede047a0a6aff9a229f35389377a/analysis/1528244035/). Deze bevat wat gecomprimeerde code met een onbekend compressieprogramma, wat vermoedelijk tot de meldingen leidt. 7-Zip pakt niet de NSIS installer zelf uit dus die zal ook wel zoiets geven.
Ik heb zojuist "codeblocks-17.12mingw-setup.exe" (SHA256: d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39 dus dezelfde als jij gedownload hebt; te zien in jouw VT URL) als admin geïnstalleerd, maar niet gestart. Starten heb ik daarna met mijn gewone, non-admin, account gedaan (dat heb ik mezelf vele jaren geleden aangeleerd: ik wil niet dat er iets per ongelukt iets wijzigt in de installatie van een compiler - zodat resultaten zoveel mogelijk reproduceren en voorbeeldfiles onveranderd blijven).
Noch tijdens de installatie, noch tijdens starten (en kiezen van GCC als compiler) werd er netwerkverkeer gegenereerd gerelateerd hieraan (ik had Wireshark draaien).
Conclusie: lijkt me safe :-)
De tweede 1 week later (https://www.virustotal.com/en/file/d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39/analysis/1514739731/).
Als er na bijna een half jaar nog steeds 3 scanners zijn die iets menen te vinden (bij een ongewijzigde binary bedoel ik natuurlijk), gaat het zo goed als zeker om suffe false positives. Er zitten 3993 files in het met NSIS ingepakte installatieprogramma, de kans op false positives - met name door de minder bekende virusscanners - is dan aanzienlijk.
De zip file (codeblocks-17.12mingw-nosetup.zip) ruim 5 dagen geleden gescand geeft slechts 2 meldingen (waarbij Cylance sowieso vaak false positives geeft): https://www.virustotal.com/en/file/1b7fbf51afe9b184c6214fe03eb1c16ff6606fcca3a888c6f837d1253fe35054/analysis/1528329916/. Van hieruit kun je individuele files checken (onder tabblad File Detail).
De file "CbLauncher.exe" geeft 2 hits, maar niets waar ik me zorgen over zou maken (https://www.virustotal.com/en/file/9ac0889f3399ff51c6b3fa04c6bbfa923a60cd3ea8aad530c3b2eb8ba887b3a4/analysis/1528280692/).
Ik heb beide packages uitgepakt (met 7-Zip) en vergeleken. In elk geval uninstall.exe (uit de exe file) geeft 2 hits (https://www.virustotal.com/en/file/7c697846dfc0fac6f0ed6f3c4f57d93be6afede047a0a6aff9a229f35389377a/analysis/1528244035/). Deze bevat wat gecomprimeerde code met een onbekend compressieprogramma, wat vermoedelijk tot de meldingen leidt. 7-Zip pakt niet de NSIS installer zelf uit dus die zal ook wel zoiets geven.
Ik heb zojuist "codeblocks-17.12mingw-setup.exe" (SHA256: d53b03186fd487b34479f139e39ca19418186a45d62afab9ba86a67398259b39 dus dezelfde als jij gedownload hebt; te zien in jouw VT URL) als admin geïnstalleerd, maar niet gestart. Starten heb ik daarna met mijn gewone, non-admin, account gedaan (dat heb ik mezelf vele jaren geleden aangeleerd: ik wil niet dat er iets per ongelukt iets wijzigt in de installatie van een compiler - zodat resultaten zoveel mogelijk reproduceren en voorbeeldfiles onveranderd blijven).
Noch tijdens de installatie, noch tijdens starten (en kiezen van GCC als compiler) werd er netwerkverkeer gegenereerd gerelateerd hieraan (ik had Wireshark draaien).
Conclusie: lijkt me safe :-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
