Page 1 sur 1
WAPT 1.5 vs Antivirus
Posté : 11 avr. 2018 - 09:20
par Alesk
Bonjour,
Suite à la maj de 1.3 à 1.5 de WAPT, nous avons une détection/blocage de notre antivirus suite à la tentative de MAJ des agents sur les postes. Nous allons établir une solution mais l'objectif est d'informé et d'avoir un retour d'expérience éventuellement.
TrendMicro Officescan Server XG Build 1315
# Détection 1 : Le malware détecté est Mal_Mlwr-13
https://www.trendmicro.com/vinfo/us/thr ... al_Mlwr-13
# Détection 2 : chiffrement de fichier non autorisé C:\Windows\Temp\is-L7N1A.tmp\waptagent.tmp (triggered by "c:\windows\temp\waptagent.exe")
# Détection 3 : waptconsole.exe
%Merci par avance pour votre retour
Re: WAPT 1.5 vs Antivirus
Posté : 11 avr. 2018 - 14:50
par Alesk
Bonjour,
Faisant référence au post du matin intitulé "WAPT 1.5 vs Antivirus" viewtopic.php?f=10&t=1134, voici les éléments que nous avons intégré pour débloquer la situation sur un Trend Micro Officescan XG.
# Détection 1 : Le malware détecté est Mal_Mlwr-13
https://www.trendmicro.com/vinfo/us/thr ... al_Mlwr-13
Solution :
https://success.trendmicro.com/solution/000019446 à appliquer à tous les scan sur Scan Exclusion List (Directories) c:\wapt
# Détection 2 : chiffrement de fichier non autorisé C:\Windows\Temp\is-L7N1A.tmp\waptagent.tmp (triggered by "c:\windows\temp\waptagent.exe")
Solution :
http://docs.trendmicro.com/en-us/enterp ... ing-1.aspx sur c:\windows\temp\waptagent.exe
# Détection 3 : waptconsole.exe
Solution :
http://docs.trendmicro.com/all/ent/offi ... -List.html à appliquer à tous les postes sur c:\wapt\waptconsole.exe
Re: WAPT 1.5 vs Antivirus
Posté : 11 avr. 2018 - 15:32
par htouvet
Merci pour ce retour...
Re: WAPT 1.5 vs Antivirus
Posté : 11 avr. 2018 - 17:21
par Alesk
Ce n'est pas suffisant malheureusement. Énormément de fichier tmp son vu comme Mal_Mlwr-13 dans le c:\wpat\*.tmp
Impossible de gérer le wildcard et bypasser ce Mal_Mlwr-13 me parait risqué....
Une solution ?
Re: WAPT 1.5 vs Antivirus
Posté : 11 avr. 2018 - 17:28
par Alesk
Trouvé
Intégré c:\wapt\*.* dans les exceptions de scan et à appliquer à tous les scan d'après
http://docs.trendmicro.com/en-us/enterp ... wildc.aspx
Re: WAPT 1.5 vs Antivirus
Posté : 12 avr. 2018 - 15:02
par benoitpatin
La meilleure des solutions n'est pas de faire des exceptions mais d'indiquer à l'éditeur de l'antivirus que le fichier est un faux positif. La plupart des éditeurs propose un page sur leur site pour uploader un fichier et indiquer que le fichier est sain. En général en 24-48h la mise à jour comprend le hash du fichier et tu n'es plus embêté.
Re: WAPT 1.5 vs Antivirus
Posté : 12 avr. 2018 - 16:17
par Alesk
Bonjour,
En effet, nous faisons cette déclaration pour des applications d'éditeur avec des éléments fixes.
Or avec WAPT la détection parait à géométrie variable et pas forcément à 100% sur les mêmes éléments. Il parait nécessaire d'effectuer un recensement des problèmes rencontrés pour que la déclaration au fabricant de l'antivirus soit complète et en espérant que des éléments vont être corrigés dans le debug de la version 1.5 de WAPT.
.... A suivre
Re: WAPT 1.5 vs Antivirus
Posté : 16 avr. 2018 - 15:59
par dcardon
Bonjour Alesk,
Alesk a écrit : ↑11 avr. 2018 - 17:21
Ce n'est pas suffisant malheureusement. Énormément de fichier tmp son vu comme Mal_Mlwr-13 dans le c:\wpat\*.tmp
Impossible de gérer le wildcard et bypasser ce Mal_Mlwr-13 me parait risqué....
Une solution ?
Le code WAPT ne génère pas de fichier *.tmp en soit. Ce fichier est créé temporairement par Innosetup lors de l'installation du programme.
Par contre, il n'y a pas de raison qu'il soit créé dans le répertoire c:\wapt. Il devrait être créé dans le répertoire temporaire du compte lançant l'installation (c:\windows\temp pour LOCALSYSTEM ou %AppData%Local\Temp\ pour les autres).
Est ce que vous n'auriez pas un soucis de chemin pour votre variable d'environnement %PATH% par hasard?
Cordialement,
Denis