debianforum.de

Hallo zusammen

Ich habe auf meinem Windows Computer (Win10) den Windows Defender aktiv.
Er meldet seit gestern bei verschiedenen Debian ISO Files:
debian-8.6.0-amd64-netinst.iso
debian-10.0.0-amd64-netinst.iso
debian-10.0.0-amd64-i386-netinst.iso

einen Trojaner Win64/Longage

Weiss jemand dazu etwas?
Ist das ein false positive Alarm?


Der Link dazu von Microsoft:
https://www.microsoft.com/en-us/wdsi/th ... 64/Longage

Beste Grüsse

Wo soll da irgendein Windows-Trojaner enthalten sein Ist wahrscheinlich ein ein False-Positive.
Wahrscheinlich irgendeine komische Bitabfolge in den genannten Dateien, die als Virus erkannt werden.

Scheinbar geht es um das Paket [deb]linux-image-amd64[/deb welches aktuell linux-image-4.19.0-6-amd64 installiert, aber in deinem ISO noch linux-image-4.19.0-5-amd64 enthält. Spätestens bei der Installation bzw. Update sollte es eigentlich gar nicht mehr existieren.

Evtl. macht es Sinn eine neuere ISO-Datei zu verwenden auch wenn ich nicht glaube, dass dort überhaupt Schadcode enthalten war.

Du kannst auch testweise mal eine der .ko daten auf virustotal hochladen. Gucken was andere sagen.
Aber wahrscheinlich ist ein Falsepositive.

Nachdem es nicht nur Debian-ISOs sondern auch Ubuntu betrifft:
https://askubuntu.com/questions/1194796 ... 3-live-ser

kann mal ziemlich sicher davon ausgehen, daß es ein false Positive ist.

Ausserdem ist dieser Trojaner - laut deinem Link - Malware, die MacOS angreifen soll. Dort ist auch von PowerPC-Architektur die Rede, die es schon seit 10 Jahren nicht mehr als Mac gibt. Die Trojanersignatur eines so alten Trojaners paßt scheinbar zufällig auch auf irgendwelche Linux-Binaries.

Dass es passt sollte mindestens bei Prüfsummen selten sein trotz oder wegen https://de.wikipedia.org/wiki/Geburtstagsparadoxon

Weder ESET NOD32 noch Malwarebytes finden da was.

Windows Defender aber schon, wie beschrieben.
Hab das ISO (debian-10.0.0-amd64-i386-netinst.iso) mal in einen VM eingehängt und alle drei mal laufen lassen.

Danke für die vielen Feedbacks. Das beruhigt mich schonmal.
Ich habe in der Zwischenzeit noch die einzelnen Files auf Virustotal raufgeladen. Es gibt einen Scan vor ~20 Tagen, da gibts noch keine Meldung, beim neuen Scan von mir schlägt die Microsoft Engine an.
Im Link von Microsoft zu dem Trojaner ist auch ein Update Datum vom 7. Dezember 2019, das passt alles zusammen.

pool\main\l\linux-signed-amd64\linux-image-4.19.0-5-amd64_4.19.37-5_amd64.deb->data.tar.xz->(xz)->./lib/modules/4.19.0-5-amd64/kernel/drivers/net/tun.ko
-> https://www.virustotal.com/gui/file/3fc ... /detection

pool\main\l\linux-signed-amd64\linux-image-4.19.0-5-amd64_4.19.37-5_amd64.deb->data.tar.xz->(xz)->./lib/modules/4.19.0-5-amd64/kernel/net/phonet/phonet.ko
-> https://www.virustotal.com/gui/file/f1f ... /detection

pool\main\l\linux-signed-amd64\linux-image-4.19.0-5-amd64_4.19.37-5_amd64.deb->data.tar.xz->(xz)->./lib/modules/4.19.0-5-amd64/kernel/net/phonet/pn_pep.ko
-> https://www.virustotal.com/gui/file/7e4 ... /detection

Ich werde in den nächsten Tage die Files noch einige Male scannen und schauen, ob mit neuen Signaturen die Warn-Meldungen noch kommen.
Zusätzlich möchte ich die Checksum der ISO-Files noch prüfen.
Gibt es irgendwo eine "sichere" Seite, auf der die Checksum der alte Debian ISO Versionen zur Verfügung stehen?

Ich denke mehr kann ich im Moment nicht machen.
Wenn ihr noch Ideen habt, bin für alles offen

Vielen Dank
Beste Grüsse

kurzer Update:
Microsoft hat die drei eingereichten Files als "Incorrect detection" bestätigt.
Auf Virustotal werden die Files auch von Microsoft nicht mehr als Trojaner erkannt.
Beste Grüsse