Página 1 de 1
[ANTIVIRUS] waptdeploy.exe
Publicado: 19 de julio de 2021 - 10:47 a. m.
por elelay
Hola,
para que lo sepan, durante la noche nuestro antivirus (Trend Micro) comenzó a eliminar el archivo waptdeploy.exe de todos los ordenadores.
Estas eliminaciones generaron alertas en las estaciones de trabajo, causando cierto pánico. ¡Menuda manera de empezar el lunes!
El archivo se detecta como spyware/greyware con el tipo de ataque: PUA.Win32.AddressCatcher.A.
Hemos tenido que excluir temporalmente el archivo del análisis mediante su hash; ¿qué pueden hacer ustedes?
Atentamente,
Étienne
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 21 de julio de 2021 - 10:24 a. m.
por dcardon
Hola Etienne,
es difícil prever cambios en el comportamiento de los proveedores de antivirus. Dicho esto, ahora estamos empezando a escanear todas las compilaciones con VirusTotal por defecto, así que deberíamos tener un poco más de aviso si ocurre algo. Además, hemos cambiado el comportamiento predeterminado (no hace nada si no se especifican parámetros) para minimizar los informes al software antivirus. Las correcciones están disponibles en la nueva rama 2.1.
Para tu información, ahora también estamos escaneando todos los paquetes nuevos de WAPT con VirusTotal para que sean "conocidos" (además de todos los binarios de WAPT).
También vamos a iniciar una nueva campaña Insider para la versión 2.1 de WAPT. Si tienes la versión Enterprise, puedes participar para obtener las nuevas versiones como bonificación.
Saludos cordiales,
Denis Cardon
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 21 de julio de 2021 - 10:51 a. m.
por elelay
Hola Denis, ¡
Gracias por tu respuesta detallada!
Noté que VirusTotal ya había analizado el archivo.
Tras la actualización de esta mañana, a pesar de la excepción en nuestro antivirus, el paquete waptupgrade fue marcado como sospechoso. Al respecto, ¿es posible descargar una plantilla en algún sitio? ¿O hay que recrearla completamente de forma manual?
Al revisar el repositorio Enterprise, vi que hay una versión nightly que llega hasta la 2.1. ¿Te refieres a esa? ¿O el programa Insider ofrece una versión estable? Si es así, sí, nos interesaría
. Si pudiera ayudarnos a resolver nuestro problema.
Saludos cordiales,
Étienne
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 21 de julio de 2021 - 11:48 a. m.
por dcardon
El archivo waptagent.exe se recrea actualmente con los certificados y la configuración de su servidor wapt. Por lo tanto, el archivo es único cada vez y, al no estar firmado, la mayoría de los programas antivirus no lo detectan correctamente (esto no se debe a su comportamiento, sino a su singularidad y a la falta de firma).
Para solucionar parcialmente este problema, integraremos el archivo tis-waptsetup.exe en el paquete waptupgrade, junto con el archivo de configuración. Este archivo está debidamente firmado y se envía a VirusTotal con cada modificación, y dado el número de sitios en los que se utiliza, esto debería generar menos problemas.
El programa Insider utiliza versiones Release Candidate, y la versión 2.1RC1 se lanzará muy pronto. Los participantes del programa tienen acceso directo al desarrollador para solucionar cualquier problema que pueda surgir (existen tantas formas diferentes de configurar una red que la diversidad es necesaria para probarlo todo
).
Atentamente,
Denis
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 23 de julio de 2021 - 09:37
por vincent_n
Hola Etienne,
nosotros también usamos Trend Micro y tenemos el mismo problema. Con el soporte de Trend Micro, tenemos esta opción:
"Si sospecha que se trata de un falso positivo (es decir, cree que el archivo detectado no es malicioso), envíe una muestra del archivo detectado a través de los siguientes canales para su análisis".
Envié waptdeploy al soporte de Trend Micro, con la esperanza de que sea útil.
En cuanto a waptagent, yo personalmente lo firmo con un certificado de firma de código generado por nuestra CA interna y reconocido por nuestros PC. Eso parece ser suficiente; ya no veo ninguna alerta de Trend Micro sobre este archivo.
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 23 de julio de 2021 - 09:52
por elelay
Hola Vincent, ¡
gracias por tu respuesta!
También había oído hablar de esta posibilidad, pero no encontraba dónde subir el archivo.
Hasta ahora, solo el archivo waptdeploy.exe estaba causando problemas. Ahora se trata de un archivo temporal en el C:\program files (x86)\wapt que se crea durante la instalación. Tenemos que excluir este directorio de nuestros análisis (no me gusta mucho, pero no nos queda otra).
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 23 de julio de 2021 - 11:44 a. m.
por vincent_n
Tienes que abrir una ventana en "Problema de amenaza" y te aparecerá la opción. Busqué durante un rato.
Su respuesta:
Hemos analizado el archivo waptdeploy.exe (7d237ea585df8bf1001ed18e8513764b990621ad) y hemos verificado que no es malicioso.
Se añadirá a nuestras bases de datos de software seguro certificado y puede tardar entre 12 y 24 horas en reflejarse en los sistemas.
Asegúrate de que el sistema esté conectado a internet para que el producto pueda consultar nuestra lista blanca.
Creo que solo será para mi waptdeploy.exe, así que...
Re: [ANTIVIRUS] waptdeploy.exe
Publicado: 26 de julio de 2021 - 10:25 a. m.
por maintenancevla
Hola,
tengo el mismo problema con Windows Defender.
Windows SmartScreen está bloqueando la acción.
¿Tienes alguna solución
? ¿Sigue siendo relevante? ¿Para la exclusión?
viewtopic.php?f=10&t=1091
"C:\Archivos de programa (x86)\wapt\waptservice\win32\nssm.exe"
"C:\Archivos de programa (x86)\wapt\waptservice\win64\nssm.exe"
"C:\Archivos de programa (x86)\wapt\waptagent.exe"
"C:\Archivos de programa (x86)\wapt\waptconsole.exe"
"C:\Archivos de programa (x86)\wapt\waptexit.exe"
"C:\wapt\waptservice\win32\nssm.exe"
"C:\wapt\waptservice\win64\nssm.exe"
"C:\wapt\waptagent.exe"
"C:\wapt\waptconsole.exe"
"C:\wapt\waptexit.exe"
Por favor