Page 1 sur 1
[ANTIVIRUS] waptdeploy.exe
Publié : 19 juil. 2021 - 10:47
par elelay
Bonjour,
Pour information, du jour au lendemain, notre antivirus (Trend Micro) s'est mis à supprimer le fichier waptdeploy.exe de tous les PCs.
Ces suppressions générant des alertes sur les postes, cela a généré un petit "élan de panique". Sympa dés le lundi matin.
Le fichier est détecté comme spyware/greyware avec comme type d'attaque : PUA.Win32.AddressCatcher.A
Temporairement, nous avons du exclure le fichier de l'analyse avec son hash ; que pouvez-vous faire vous à votre échelle ?
Cordialement,
Étienne
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 21 juil. 2021 - 10:24
par dcardon
Bonjour Etienne,
il est difficile d'anticiper les changements de comportement des éditeurs d'antivirus. Ceci dit on commence à passer tous les build sur virustotal par défaut maintenant donc on devrait avoir un peu plus d'info en amont si ça se produit. De plus on a changé le comportement par défaut (il ne fait rien si aucun paramètre) pour éviter au maximum les remontées sur les antivirus. Les correctifs sont dispo sur la nouvelle branche 2.1.
Pour info maintenant on passe aussi tous les nouveaux paquets WAPT sur virustotal pour qu'ils soient "connus" (en plus de tous les binaires wapt).
D'ailleurs on va commencer une nouvelle campagne Insider pour la sortie de WAPT 2.1. Si ça vous êtes en version entreprise vous pouvez y participer pour avoir les nouvelles version en prime.
Cordialement,
Denis Cardon
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 21 juil. 2021 - 10:51
par elelay
Bonjour Denis,
Merci pour votre réponse détaillée !
J'ai effectivement remarqué que le fichier avait déjà été scanné sur virustotal auparavant.
Update de ce matin, malgré l’exception au niveau de notre antivirus, le paquet waptupgrade s'est fait flag. Et à ce propos, est-il possible de le télécharger un template quelque part ? Ou il faut le refaire complètement à la main ?
En regardant sur le dépôt enterprise, j'ai vu qu'il y avait une version nightly qui va jusquà la 2.1 justement. Vous parlez de celle-ci ? Ou le programme Insider propose une version stable ? Le cas échéant, oui nous serions intéressés
. Si cela peut permettre de résoudre notre souci.
Cordialement,
Étienne
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 21 juil. 2021 - 11:48
par dcardon
Pour le waptagent.exe il est actuellement recréé avec les certificats et les configurations de votre wapt server. Le fichier est donc unique à chaque fois, et vu qu'il n'est pas signé il est pas apprécié par la plupart des antivirus (ce n'est pas lié au comportement, mais à l'unicité du fichier et son absence de signature).
Pour palier partiellement à ce problème on va intégrer le fichier tis-waptsetup.exe dans le paquet waptupgrade avec la conf à côté. Ce fichier est correctement signé et est envoyé à virustotal à chaque modif, est vu le nombre de site sur lequel il est utilisé ça devrait générer moins de problème.
Pour le programme Insider on se base sur des versions Release Candidate, et la 2.1RC1 devrait sortir très bientôt. Les personnes participant au programme bénéficie d'un accès directe au développeur pour corriger des soucis qui pourraient survenir (il y a tellement de manière différentes de mettre en place un réseau qu'il faut avoir de la diversité pour tout tester
).
Cordialement,
Denis
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 23 juil. 2021 - 09:37
par vincent_n
Bonjour Etienne,
On utilise Trend aussi et on a le même problème. Avec le support Trend on a cette option :
"If you suspect a false positive (i.e. you believe the detected file to be non-malicious), kindly submit a sample of the detected file through the following channels for analysis"
J'ai soumis le waptdeploy au support Trend, en espérant que ça serve à quelque chose.
Concernant le waptagent, personellement je le signe avec un certificat de code signing généré par notre CA interne et reconnue par nos PC. Ça a l'air de suffir, je ne vois plus d'alertes remonté par Trend sur ce fichier.
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 23 juil. 2021 - 09:52
par elelay
Bonjour Vincent,
Merci pour ton retour !
J'avais aussi entendu parler de cette possibilité mais je n'ai pas trouvé l'endroit au uploader le dit fichier.
Jusque là il ne s'agissait que du fichier waptdeploy.exe qui posait souci Maintenant c'est un fichier temporaire dans le répertoire C:\program files (x86)\wapt qui est créé pendant l'installation. Obligés d'exclure ce répertoire de nos scans (pas trop trop fan mais pas le choix).
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 23 juil. 2021 - 11:44
par vincent_n
Il faut ouvrir un case en "Threat issue" et tu as l'option qui apparaît. J'ai cherché un moment.
Leur feedback :
We have analyzed the file waptdeploy.exe (7d237ea585df8bf1001ed18e8513764b990621ad) and verified this to be non-malicious.
This will be added in our certified safe software databases and may take 12-24 hours to reflect in the systems.
Please make sure that the system is connected to the internet in order for the product to be able to query from our whitelisting.
Je pense que ça ne sera que pour mon waptdeploy.exe du coup....
Re: [ANTIVIRUS] waptdeploy.exe
Publié : 26 juil. 2021 - 10:25
par maintenancevla
Bonjour
J'ai le même problème avec Windows defender.
Windows SmartScreen me bloque l'action.
Avez vous une solution
Toujours d'actualité ? pour exclusion ?
viewtopic.php?f=10&t=1091
"C:\Program Files (x86)\wapt\waptservice\win32\nssm.exe"
"C:\Program Files (x86)\wapt\waptservice\win64\nssm.exe"
"C:\Program Files (x86)\wapt\waptagent.exe"
"C:\Program Files (x86)\wapt\waptconsole.exe"
"C:\Program Files (x86)\wapt\waptexit.exe"
"C:\wapt\waptservice\win32\nssm.exe"
"C:\wapt\waptservice\win64\nssm.exe"
"C:\wapt\waptagent.exe"
"C:\wapt\waptconsole.exe"
"C:\wapt\waptexit.exe"
Svp