Hola,
para que lo sepan, durante la noche nuestro antivirus (Trend Micro) comenzó a eliminar el archivo waptdeploy.exe de todos los ordenadores.
Estas eliminaciones generaron alertas en las estaciones de trabajo, causando cierto pánico. ¡Menuda manera de empezar el lunes!
El archivo se detecta como spyware/greyware con el tipo de ataque: PUA.Win32.AddressCatcher.A.
Hemos tenido que excluir temporalmente el archivo del análisis mediante su hash; ¿qué pueden hacer ustedes?
Atentamente,
Étienne
[ANTIVIRUS] waptdeploy.exe
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola Etienne,
es difícil prever cambios en el comportamiento de los proveedores de antivirus. Dicho esto, ahora estamos empezando a escanear todas las compilaciones con VirusTotal por defecto, así que deberíamos tener un poco más de aviso si ocurre algo. Además, hemos cambiado el comportamiento predeterminado (no hace nada si no se especifican parámetros) para minimizar los informes al software antivirus. Las correcciones están disponibles en la nueva rama 2.1.
Para tu información, ahora también estamos escaneando todos los paquetes nuevos de WAPT con VirusTotal para que sean "conocidos" (además de todos los binarios de WAPT).
También vamos a iniciar una nueva campaña Insider para la versión 2.1 de WAPT. Si tienes la versión Enterprise, puedes participar para obtener las nuevas versiones como bonificación.
Saludos cordiales,
Denis Cardon
es difícil prever cambios en el comportamiento de los proveedores de antivirus. Dicho esto, ahora estamos empezando a escanear todas las compilaciones con VirusTotal por defecto, así que deberíamos tener un poco más de aviso si ocurre algo. Además, hemos cambiado el comportamiento predeterminado (no hace nada si no se especifican parámetros) para minimizar los informes al software antivirus. Las correcciones están disponibles en la nueva rama 2.1.
Para tu información, ahora también estamos escaneando todos los paquetes nuevos de WAPT con VirusTotal para que sean "conocidos" (además de todos los binarios de WAPT).
También vamos a iniciar una nueva campaña Insider para la versión 2.1 de WAPT. Si tienes la versión Enterprise, puedes participar para obtener las nuevas versiones como bonificación.
Saludos cordiales,
Denis Cardon
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
Hola Denis, ¡
Gracias por tu respuesta detallada!
Noté que VirusTotal ya había analizado el archivo.
Tras la actualización de esta mañana, a pesar de la excepción en nuestro antivirus, el paquete waptupgrade fue marcado como sospechoso. Al respecto, ¿es posible descargar una plantilla en algún sitio? ¿O hay que recrearla completamente de forma manual?
Al revisar el repositorio Enterprise, vi que hay una versión nightly que llega hasta la 2.1. ¿Te refieres a esa? ¿O el programa Insider ofrece una versión estable? Si es así, sí, nos interesaría
. Si pudiera ayudarnos a resolver nuestro problema.
Saludos cordiales,
Étienne
Gracias por tu respuesta detallada!
Noté que VirusTotal ya había analizado el archivo.
Tras la actualización de esta mañana, a pesar de la excepción en nuestro antivirus, el paquete waptupgrade fue marcado como sospechoso. Al respecto, ¿es posible descargar una plantilla en algún sitio? ¿O hay que recrearla completamente de forma manual?
Al revisar el repositorio Enterprise, vi que hay una versión nightly que llega hasta la 2.1. ¿Te refieres a esa? ¿O el programa Insider ofrece una versión estable? Si es así, sí, nos interesaría
. Si pudiera ayudarnos a resolver nuestro problema.Saludos cordiales,
Étienne
Versión del servidor WAPT: 2.0 Enterprise
Console instalada en un
servidor Windows Server 2019 Debian 10 Buster.
Console instalada en un
servidor Windows Server 2019 Debian 10 Buster.
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
El archivo waptagent.exe se recrea actualmente con los certificados y la configuración de su servidor wapt. Por lo tanto, el archivo es único cada vez y, al no estar firmado, la mayoría de los programas antivirus no lo detectan correctamente (esto no se debe a su comportamiento, sino a su singularidad y a la falta de firma).
Para solucionar parcialmente este problema, integraremos el archivo tis-waptsetup.exe en el paquete waptupgrade, junto con el archivo de configuración. Este archivo está debidamente firmado y se envía a VirusTotal con cada modificación, y dado el número de sitios en los que se utiliza, esto debería generar menos problemas.
El programa Insider utiliza versiones Release Candidate, y la versión 2.1RC1 se lanzará muy pronto. Los participantes del programa tienen acceso directo al desarrollador para solucionar cualquier problema que pueda surgir (existen tantas formas diferentes de configurar una red que la diversidad es necesaria para probarlo todo
).
Atentamente,
Denis
Para solucionar parcialmente este problema, integraremos el archivo tis-waptsetup.exe en el paquete waptupgrade, junto con el archivo de configuración. Este archivo está debidamente firmado y se envía a VirusTotal con cada modificación, y dado el número de sitios en los que se utiliza, esto debería generar menos problemas.
El programa Insider utiliza versiones Release Candidate, y la versión 2.1RC1 se lanzará muy pronto. Los participantes del programa tienen acceso directo al desarrollador para solucionar cualquier problema que pueda surgir (existen tantas formas diferentes de configurar una red que la diversidad es necesaria para probarlo todo
).Atentamente,
Denis
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
Hola Etienne,
nosotros también usamos Trend Micro y tenemos el mismo problema. Con el soporte de Trend Micro, tenemos esta opción:
"Si sospecha que se trata de un falso positivo (es decir, cree que el archivo detectado no es malicioso), envíe una muestra del archivo detectado a través de los siguientes canales para su análisis".
Envié waptdeploy al soporte de Trend Micro, con la esperanza de que sea útil.
En cuanto a waptagent, yo personalmente lo firmo con un certificado de firma de código generado por nuestra CA interna y reconocido por nuestros PC. Eso parece ser suficiente; ya no veo ninguna alerta de Trend Micro sobre este archivo.
nosotros también usamos Trend Micro y tenemos el mismo problema. Con el soporte de Trend Micro, tenemos esta opción:
"Si sospecha que se trata de un falso positivo (es decir, cree que el archivo detectado no es malicioso), envíe una muestra del archivo detectado a través de los siguientes canales para su análisis".
Envié waptdeploy al soporte de Trend Micro, con la esperanza de que sea útil.
En cuanto a waptagent, yo personalmente lo firmo con un certificado de firma de código generado por nuestra CA interna y reconocido por nuestros PC. Eso parece ser suficiente; ya no veo ninguna alerta de Trend Micro sobre este archivo.
Hola Vincent, ¡
gracias por tu respuesta!
También había oído hablar de esta posibilidad, pero no encontraba dónde subir el archivo.
Hasta ahora, solo el archivo waptdeploy.exe estaba causando problemas. Ahora se trata de un archivo temporal en el C:\program files (x86)\wapt que se crea durante la instalación. Tenemos que excluir este directorio de nuestros análisis (no me gusta mucho, pero no nos queda otra).
gracias por tu respuesta!
También había oído hablar de esta posibilidad, pero no encontraba dónde subir el archivo.
Hasta ahora, solo el archivo waptdeploy.exe estaba causando problemas. Ahora se trata de un archivo temporal en el C:\program files (x86)\wapt que se crea durante la instalación. Tenemos que excluir este directorio de nuestros análisis (no me gusta mucho, pero no nos queda otra).
Versión del servidor WAPT: 2.0 Enterprise
Console instalada en un
servidor Windows Server 2019 Debian 10 Buster.
Console instalada en un
servidor Windows Server 2019 Debian 10 Buster.
Tienes que abrir una ventana en "Problema de amenaza" y te aparecerá la opción. Busqué durante un rato.
Su respuesta:
Hemos analizado el archivo waptdeploy.exe (7d237ea585df8bf1001ed18e8513764b990621ad) y hemos verificado que no es malicioso.
Se añadirá a nuestras bases de datos de software seguro certificado y puede tardar entre 12 y 24 horas en reflejarse en los sistemas.
Asegúrate de que el sistema esté conectado a internet para que el producto pueda consultar nuestra lista blanca.
Creo que solo será para mi waptdeploy.exe, así que...
Su respuesta:
Hemos analizado el archivo waptdeploy.exe (7d237ea585df8bf1001ed18e8513764b990621ad) y hemos verificado que no es malicioso.
Se añadirá a nuestras bases de datos de software seguro certificado y puede tardar entre 12 y 24 horas en reflejarse en los sistemas.
Asegúrate de que el sistema esté conectado a internet para que el producto pueda consultar nuestra lista blanca.
Creo que solo será para mi waptdeploy.exe, así que...
-
mantenimientovla
- Mensajes: 18
- Inscripciones: 21 de marzo de 2018 - 14:30 horas
Hola,
tengo el mismo problema con Windows Defender.
Windows SmartScreen está bloqueando la acción.
¿Tienes alguna solución
? ¿Sigue siendo relevante? ¿Para la exclusión?
viewtopic.php?f=10&t=1091
"C:\Archivos de programa (x86)\wapt\waptservice\win32\nssm.exe"
"C:\Archivos de programa (x86)\wapt\waptservice\win64\nssm.exe"
"C:\Archivos de programa (x86)\wapt\waptagent.exe"
"C:\Archivos de programa (x86)\wapt\waptconsole.exe"
"C:\Archivos de programa (x86)\wapt\waptexit.exe"
"C:\wapt\waptservice\win32\nssm.exe"
"C:\wapt\waptservice\win64\nssm.exe"
"C:\wapt\waptagent.exe"
"C:\wapt\waptconsole.exe"
"C:\wapt\waptexit.exe"
Por favor
tengo el mismo problema con Windows Defender.
Windows SmartScreen está bloqueando la acción.
¿Tienes alguna solución
? ¿Sigue siendo relevante? ¿Para la exclusión?
viewtopic.php?f=10&t=1091
"C:\Archivos de programa (x86)\wapt\waptservice\win32\nssm.exe"
"C:\Archivos de programa (x86)\wapt\waptservice\win64\nssm.exe"
"C:\Archivos de programa (x86)\wapt\waptagent.exe"
"C:\Archivos de programa (x86)\wapt\waptconsole.exe"
"C:\Archivos de programa (x86)\wapt\waptexit.exe"
"C:\wapt\waptservice\win32\nssm.exe"
"C:\wapt\waptservice\win64\nssm.exe"
"C:\wapt\waptagent.exe"
"C:\wapt\waptconsole.exe"
"C:\wapt\waptexit.exe"
Por favor
- Versión de WAPT instalada: 2.6.0.16795
- Sistema operativo del servidor: Debian 11
- Sistema operativo de la máquina de administración/creación de paquetes: Windows Server 2019
- Sistema operativo del servidor: Debian 11
- Sistema operativo de la máquina de administración/creación de paquetes: Windows Server 2019
