Journal Virus dans uclibc

Posté par  . Licence CC By‑SA.
Étiquettes :
-42
11
août
2023

La version 0.9.30.1 de uclibc contient le cheval de Troie Gafgyt :
https://www.virustotal.com/gui/file/b3768ddc9d82c9ca9d313b1de1d16902b1d8fd58f886253aff961a8ade4fc6e9/detection

Cette version de uclibc était utilisée dans d'anciennes version de Ventoy.

Si vous connaissez d'autres logiciels qui utilisent cette version de uclibc, signalez-les.

  • # Faux positif?

    Posté par  (site web personnel) . Évalué à 10.

    Il n'y avait pas une histoire de faux positifs ?

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Déjà vu, faux positif

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 11 août 2023 à 12:25.

  • # Pas de faux positif

    Posté par  . Évalué à -10.

    Non, ce n'est pas un faux positif. 20 antivirus y détectent Gafgyt et ce nombre croît régulièrement.

    • [^] # Re: Pas de faux positif

      Posté par  . Évalué à 10.

      Les éditeurs d'antivirus ont un mauvais penchant. Ils veulent tous que leur antivirus détectent tous les virus, et encore mieux que les autres. Donc ils cherchent tous à faire mieux que les autres, et si toto déclare que uclibc est un virus, alors titi va vite se dépecher de dire lui aussi que c'est un méchant virus pour afficher un plus grand nombre de détections que le concurrent.

      Long story short: uclibc n'a pas de virus, et les liens virustotal détectent tout et n'importe quoi.

      • [^] # Re: Pas de faux positif

        Posté par  . Évalué à -10.

        Les arguments pour ne pas reconnaître que Linux est aussi infecté par des virus deviennent de plus en plus farfelus.

        • [^] # Re: Pas de faux positif

          Posté par  . Évalué à 10.

          ah c'est un troll d'été. Je vais me resservir une margharita et attendre que ça passe loin des écrans.

          Et les virus sous linux dont tu parles, ils sont dans cette pièce avec nous en ce moment?

        • [^] # Re: Pas de faux positif

          Posté par  (site web personnel) . Évalué à 4.

          Ben quand je lis les arguments et sources évoqués dans les différents commentaires, ça ne paraît pas être un scénario extravagant, vu le fonctionnement des anti-virus.

          Oui, il n'y a pas de virus dans uclibc, mais par contre il y a uclibc dans un virus.

          https://bugs.busybox.net/show_bug.cgi?id=13396#c2

          Après, oui, dire que les anti-virus détectent tout est n'importe quoi est une grosse généralisation, mais pour le cas précis évoqué, ça semble être crédible.

          • [^] # Re: Pas de faux positif

            Posté par  . Évalué à 5. Dernière modification le 11 août 2023 à 19:12.

            C'est précisément cela le problème, on ne sait pas comment les antivirus en question ont classifiés comme virus le logiciel , dès lors il est impossible de se faire une idée certaine. Il faudrait qu'ils donnent au moins le hash de la version qu'ils ont considéré être un virus , ce qui permettra la comparabilité indépendante (on recompile et on voit de quoi on parle ) D'ailleurs comment font ils pour comparer entre eux dans leurs courses à la détection s'ils donnent pas le hash ?

        • [^] # Re: Pas de faux positif

          Posté par  (site web personnel) . Évalué à 10.

          Supposons que tu ne sois pas un troll, juste quelqu'un qui ne lit pas les réponses données et/ou lit mal l'anglais : le logiciel hypothétiquement concerné a été publié en 2009, soit 7 ans avant la découverte du virus évoqué. Soit les antivirus concernés ont été aveugles pendant 7 ans, et alors autant ne pas s'y fier aveuglément, soit ils se gourrent, faux positif, et alors autant ne pas s'y fier aveuglément.

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 10.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Pas de faux positif

              Posté par  (site web personnel) . Évalué à 10.

              Surtout en sachant que l'une des demandes précédentes avec déjà les mêmes réponses provient de la même personne selon toute probabilité… heureusement que ce n'est pas vraiment pour elle que je fournis les infos, mais pour des personnes qui seraient vraiment intéressées ou bien inquiétées à tort.

        • [^] # Re: Pas de faux positif

          Posté par  (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 12 août 2023 à 22:14.

          Ca ne veux rien dire en sois qu'un anti-virus détecte un virus.

          • Soit il y a un faille, une backdoor, ou un comportement non souhaitable dans un logiciel, dans ce cas, s'il est Open-Source (ce qui est le cas ici), on doit trouver ou.
          • Soit il n'y a pas de virus dedans mais alors soit la version binaire installée est verolé soit l'anti-virus se plante: pour le savoir il faut une analyse sérieuse du comportement du logiciel et l'on peut alors identifier le comportement problématique et dans le cas d'un logiciel open-source remonté au code.

          Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

        • [^] # Re: Pas de faux positif

          Posté par  (site web personnel) . Évalué à 3.

          Un virus infecté par un virus, on se rapproche de la complexité du vivant. Par ailleurs les dates concordent approximativement (la découverte date de 2008), et D. Raoult semble impliqué. Sans doute un complot :-).

          « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Pas de faux positif

      Posté par  . Évalué à 1.

      La question est comment est ce qu'ils le font , pas le nombre d'antivirus qui le font (car si chacun le fait avec la même type de méthode qui mène à des faux positifs alors ce nombre ne signifie rien) Du coup pour le savoir à coup sur il faudrait connaitre leur méthodologie et pouvoir reproduire , donc avoir le hash au moins du binaire en question , et comme c'est un logiciel libre , on le recompile et on voit de quoi on parle.

      Sinon cette crédibilité me semble insuffisament fondé (au moins scientifiquement)

  • # Show me the code !

    Posté par  (Mastodon) . Évalué à 10.

    Non mais il n'y a pas à tartiner pendant des heures, si quelqu'un affirme qu'il y a un virus dans uClibc, il suffit de montrer les lignes de code concernées et il n'y aura plus de place pour un doute.

    Au boulot : https://git.uclibc.org/uClibc/tree/

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Show me the code !

      Posté par  . Évalué à 5.

      Le problème c'est le binaire pas forcément le code source … Les AV détèctent les signature sur le binaire, le problème est de savoir ce qu'ils ont détecté, et la c'est le trou noir d'information .. D'ou l'idée de donner le hash pour qu'on puisse comparer les binaire (après recompilation ou autre méthode)

      • [^] # Re: Show me the code !

        Posté par  (site web personnel) . Évalué à 5.

        sur le même thème le logiciel Captvty (du site captvty.fr) est régulièrement détecté comme un virus par les antivirus.

        ウィズコロナ

      • [^] # Re: Show me the code !

        Posté par  (Mastodon) . Évalué à 5. Dernière modification le 12 août 2023 à 12:09.

        Le problème c'est le binaire

        Certes, mais là aussi ça tiens pas longtemps comme raisonnement. uClibc étant une version légère de la libc, elle est utilisée la plupart du temps dans de l'embarqué, où les cibles sont nombreuses qui fait que chacun se la compile en général.

        Je ne sais pas qui télécharge les binaires sur le site web pour se faire un système custom.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Show me the code !

          Posté par  . Évalué à 4. Dernière modification le 12 août 2023 à 12:12.

          En fait le problème c'est l'information sur le binaire qu'ils ont flaggé en tant que virus , seulement après on peut examiner , mais on a ne sait pas cette information précise. Donc incomparable

          • [^] # Re: Show me the code !

            Posté par  (site web personnel) . Évalué à 10.

            Pour ceux qui ont du temps à perdre, il y a deux choses à faire:
            - recompiler soit même ublibc et le soumettre à l'antivirus pour être sûr que c'est bien la version opensource qui est flaggée et pas un binaire trafiqué.
            - effacer des morceaux du binaire pour voir quelle partie génère l'alerte (bon courage!)
            - inspecter la partie en question et comprendre pourquoi c'est détecté comme un virus.

            Une hypothèse assez plausible est quand même qu'un virus a un jour utilisé une vieille version de ublibc et que les fabriquants d'antivirus ont activé l'alerte de façon bourrine sans chercher à comprendre.

  • # Freebox

    Posté par  . Évalué à -10. Dernière modification le 11 août 2023 à 23:00.

    Certaines Freebox utilisent uclibc, mais quelle version ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.