Qui prévenir en cas de virus dans une lib ?

Support Debian
#1

Bonjour,

j’ai une petite question, j’espère que quelqu’un pourra m’aider.
Je fais une copie du dépot debian en interne pour mes serveurs. Je fais un scan antivirus sur ce serveur de dépot. Mon scan vient de trouver un troyen dans une lib perl:

Pour être sûre que ce n’est pas un faux positif, j’ai testé cette lib sur VirusTotal qui me donne 30 détections de virus sur 42.

Ma question est la suivante, est ce que j’ouvre un ticket de bug chez Debian ou bien y a t il un autre moyen pour prévenir le mainteneur de ce paquet ?

Si jamais je me suis tropé de topic, n’hésitez surtout pas à me déplacer, je ne savais pas trop ou le mettre…

Je vous remercie.

#2

Salut,

j’ai googlisé ta requète, je suis arrivé la dessus, souhaitant que cela puisse t’aider

Maintainer: Debian Perl Group <pkg-perl-maintainers@lists.alioth.debian.org> Uploaders: gregor herrmann <gregoa@debian.org>, Nathan Handler <nhandler@ubuntu.com>

#3

Et pourtant…
Résumons ce qu’on sait après un minimum d’investigations :

  • il s’agirait d’un ver (et non d’un trojan) qui affecte Windows et se propage par mass mailing
  • ce ver aurait donc été porté sur Linux/Perl (!!!)
  • le code de la lib est accessible (non seulement elle est open-source mais en plus c’est du Perl)
  • y’a même pas 1500 lignes à vérifier (dont une bonne partie de documentation)
  • y’a aucun code qui fasse mine de près ou de loin d’envoyer quoi que ce soit

Vu la taille du truc et après lecture du code, je peux t’affirmer à 100% que c’est des faux positifs. Probablement déclenchés par la fonctionnalité même de la lib qui vérifie les en-têtes des mails et contient donc des chaînes de texte qui doivent aussi se retrouver dans le ver en question.

+1 pour la parano (ça fait jamais de mal)
-1 pour la non-vérification
Résultat nul, balle au centre. :wink:

Tu peux toujours envoyer un mail aux mainteneurs cela dit, en leur expliquant qu’une batterie d’antivirus mal lunés détecte un faux positif sur cette lib, mais je doute qu’ils puissent y faire quoi que ce soit.

#4

Salut
Même avis que syam, j’ajoute que ton truc online ne scan que 23 mb … pas génial mai bon.
ensuite sous linux il y a des outils qui lui son dédier. il son surtout fait pour les trojant.
le mieux reste encore la verification par md5 ,et un find pour voir ce qui a été modifier par rapporrt aux fichier d’origine si c’est disponible.

Dans le doute et si l’infection est sous root, je verifierait de près si c est un faux positif. si sauvegarde il y a et réscente, je l’utilise c’est moins prise de tête :slightly_smiling:

#5

Bonsoir,

et encore merci d’avoir perdu un peu de temps pour répondre à ma question.

N’étant qu’un débutanten Perl,je n’ai pas osé checké la lib,ne pensant pas avoir le niveau, mais c’est vraique c’est une bonne idée,je vais y geter un oeil.

En fait, virusTotal ne scan que des fichiers de taille inferieur à 23Mo d’après ce que j’ai compris.

Pour le md5 j’y avais pensé,mais je suis un vrai parano :slightly_smiling: je me suis dit qu’il est possible qu’en cas de corruption, ce serait la source de mise à jour qui serait corrompue, donc un md5 pas forcément fiable… comme c’est déjà arrivé…

Merci pour vos idées et solutions, je vais checker le fichier pour avoir une idée à quoi ça ressemble et vérifier le md5.

Bonne soirée.

gric.

#6

Raison de plus pour y jeter un œil : au pire si vraiment tu ne comprends pas le code tu auras perdu un peu de temps et tu ne seras pas plus avancé, mais il y a quand même des chances que tu apprennes quelque chose au passage. :wink: