[ANTIVIRUS] waptdeploy.exe

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
elelay
Messages : 27
Inscription : 20 oct. 2020 - 12:39

19 juil. 2021 - 10:47

Bonjour,

Pour information, du jour au lendemain, notre antivirus (Trend Micro) s'est mis à supprimer le fichier waptdeploy.exe de tous les PCs.
Ces suppressions générant des alertes sur les postes, cela a généré un petit "élan de panique". Sympa dés le lundi matin.
Le fichier est détecté comme spyware/greyware avec comme type d'attaque : PUA.Win32.AddressCatcher.A
Temporairement, nous avons du exclure le fichier de l'analyse avec son hash ; que pouvez-vous faire vous à votre échelle ?

Cordialement,
Étienne
Version de WAPT Server : 2.0 Entreprise
Console installée sur un Windows Server 2019
Serveur Debian 10 Buster
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1366
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

21 juil. 2021 - 10:24

Bonjour Etienne,

il est difficile d'anticiper les changements de comportement des éditeurs d'antivirus. Ceci dit on commence à passer tous les build sur virustotal par défaut maintenant donc on devrait avoir un peu plus d'info en amont si ça se produit. De plus on a changé le comportement par défaut (il ne fait rien si aucun paramètre) pour éviter au maximum les remontées sur les antivirus. Les correctifs sont dispo sur la nouvelle branche 2.1.

Pour info maintenant on passe aussi tous les nouveaux paquets WAPT sur virustotal pour qu'ils soient "connus" (en plus de tous les binaires wapt).

D'ailleurs on va commencer une nouvelle campagne Insider pour la sortie de WAPT 2.1. Si ça vous êtes en version entreprise vous pouvez y participer pour avoir les nouvelles version en prime.

Cordialement,
Denis Cardon
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
elelay
Messages : 27
Inscription : 20 oct. 2020 - 12:39

21 juil. 2021 - 10:51

Bonjour Denis,

Merci pour votre réponse détaillée !
J'ai effectivement remarqué que le fichier avait déjà été scanné sur virustotal auparavant.
Update de ce matin, malgré l’exception au niveau de notre antivirus, le paquet waptupgrade s'est fait flag. Et à ce propos, est-il possible de le télécharger un template quelque part ? Ou il faut le refaire complètement à la main ?

En regardant sur le dépôt enterprise, j'ai vu qu'il y avait une version nightly qui va jusquà la 2.1 justement. Vous parlez de celle-ci ? Ou le programme Insider propose une version stable ? Le cas échéant, oui nous serions intéressés :D . Si cela peut permettre de résoudre notre souci.

Cordialement,
Étienne
Version de WAPT Server : 2.0 Entreprise
Console installée sur un Windows Server 2019
Serveur Debian 10 Buster
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1366
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

21 juil. 2021 - 11:48

Pour le waptagent.exe il est actuellement recréé avec les certificats et les configurations de votre wapt server. Le fichier est donc unique à chaque fois, et vu qu'il n'est pas signé il est pas apprécié par la plupart des antivirus (ce n'est pas lié au comportement, mais à l'unicité du fichier et son absence de signature).

Pour palier partiellement à ce problème on va intégrer le fichier tis-waptsetup.exe dans le paquet waptupgrade avec la conf à côté. Ce fichier est correctement signé et est envoyé à virustotal à chaque modif, est vu le nombre de site sur lequel il est utilisé ça devrait générer moins de problème.

Pour le programme Insider on se base sur des versions Release Candidate, et la 2.1RC1 devrait sortir très bientôt. Les personnes participant au programme bénéficie d'un accès directe au développeur pour corriger des soucis qui pourraient survenir (il y a tellement de manière différentes de mettre en place un réseau qu'il faut avoir de la diversité pour tout tester :-) ).

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
vincent_n
Messages : 3
Inscription : 23 juil. 2019 - 10:24

23 juil. 2021 - 09:37

Bonjour Etienne,

On utilise Trend aussi et on a le même problème. Avec le support Trend on a cette option :
"If you suspect a false positive (i.e. you believe the detected file to be non-malicious), kindly submit a sample of the detected file through the following channels for analysis"
J'ai soumis le waptdeploy au support Trend, en espérant que ça serve à quelque chose.

Concernant le waptagent, personellement je le signe avec un certificat de code signing généré par notre CA interne et reconnue par nos PC. Ça a l'air de suffir, je ne vois plus d'alertes remonté par Trend sur ce fichier.
elelay
Messages : 27
Inscription : 20 oct. 2020 - 12:39

23 juil. 2021 - 09:52

Bonjour Vincent,

Merci pour ton retour !
J'avais aussi entendu parler de cette possibilité mais je n'ai pas trouvé l'endroit au uploader le dit fichier.

Jusque là il ne s'agissait que du fichier waptdeploy.exe qui posait souci Maintenant c'est un fichier temporaire dans le répertoire C:\program files (x86)\wapt qui est créé pendant l'installation. Obligés d'exclure ce répertoire de nos scans (pas trop trop fan mais pas le choix).
Version de WAPT Server : 2.0 Entreprise
Console installée sur un Windows Server 2019
Serveur Debian 10 Buster
vincent_n
Messages : 3
Inscription : 23 juil. 2019 - 10:24

23 juil. 2021 - 11:44

Il faut ouvrir un case en "Threat issue" et tu as l'option qui apparaît. J'ai cherché un moment.

Leur feedback :
We have analyzed the file waptdeploy.exe (7d237ea585df8bf1001ed18e8513764b990621ad) and verified this to be non-malicious.

This will be added in our certified safe software databases and may take 12-24 hours to reflect in the systems.

Please make sure that the system is connected to the internet in order for the product to be able to query from our whitelisting.

Je pense que ça ne sera que pour mon waptdeploy.exe du coup....
maintenancevla
Messages : 16
Inscription : 21 mars 2018 - 14:30

26 juil. 2021 - 10:25

Bonjour

J'ai le même problème avec Windows defender.

Windows SmartScreen me bloque l'action.

Avez vous une solution

Toujours d'actualité ? pour exclusion ?
viewtopic.php?f=10&t=1091

"C:\Program Files (x86)\wapt\waptservice\win32\nssm.exe"
"C:\Program Files (x86)\wapt\waptservice\win64\nssm.exe"
"C:\Program Files (x86)\wapt\waptagent.exe"
"C:\Program Files (x86)\wapt\waptconsole.exe"
"C:\Program Files (x86)\wapt\waptexit.exe"

"C:\wapt\waptservice\win32\nssm.exe"
"C:\wapt\waptservice\win64\nssm.exe"
"C:\wapt\waptagent.exe"
"C:\wapt\waptconsole.exe"
"C:\wapt\waptexit.exe"

Svp
Verrouillé