Hi,
ich hab heute morgen im OPSI-Client-Agent (4.1.1.11-1) folgende Virenmeldung erhalten:
Datei "C:\Program Files (x86)\opsi.org\opsi-client-agent\opsiclientd_bin\site-packages\PyInstaller\bootloader\Windows-32bit\runw.exe" gehört zu Virus/Spyware 'Troj/AutoG-KP'.
Scanner ist Sophos-AV. Ist das bekannt? Hört sich ja erstmal nicht so gut an, selbst, wenn es ein false Positive ist und überall solche Meldungen aufschlagen. Oder ist es ernst zu nehmen? Konnte jetzt auf die Schnelle auch keine weiteren Infos dazu finden. Bin noch am Suchen...
Trojaner in runw.exe?
-
thomas.besser
- Beiträge: 461
- Registriert: 09 Sep 2009, 09:40
Re: Trojaner in runw.exe?
Dann werfe die Datei doch mal bei https://www.virustotal.com/ rein. Dann bekommt man schnell eine Übersicht, welche Virenscanner das auch so sehen.
BTW ist das eine alte Version. Aktuell in stable ist: opsi-client-agent_4.1.1.16-2.opsi (siehe https://download.uib.de/opsi4.1/stable/ ... localboot/)
BTW ist das eine alte Version. Aktuell in stable ist: opsi-client-agent_4.1.1.16-2.opsi (siehe https://download.uib.de/opsi4.1/stable/ ... localboot/)
-
udo.schuetz
- Beiträge: 2
- Registriert: 23 Mai 2017, 14:04
Re: Trojaner in runw.exe?
ja, stimmt, die Version ist nicht aktuell. Hab jetzt mal das Update gemacht, komischerweise kam damit aber auch keine neue 32bit runw.exe drauf. Die scheint es auch nicht bei jedem Client zu geben. Weiß vielleicht jemand, woher die kommt oder unter welchen Umständen die mit installiert wird. Ich bin mir bei den betreffenden Rechnern auch nicht so direkt bewusst, was "besonderes" gemacht zu haben.
Das mit Virustotal ist 'ne gute Idee. Allerdings hat der Virenscanner ganze Arbeit geleistet und das Teil ins Nul-Device geschickt und da es auch durch die Aktualsisierung des Agents nicht wieder aufgetaucht ist, wüsste ich adhoc gar nicht, wo ich das Ding zum Testen nochmal herbekommen sollte.
Aber es ist vermutlich eh ein false Positive. Bei Github haben wir mittlerweile ein paar Issues dazu gefunden:
https://github.com/pyinstaller/pyinstaller/issues/4633
Das mit Virustotal ist 'ne gute Idee. Allerdings hat der Virenscanner ganze Arbeit geleistet und das Teil ins Nul-Device geschickt und da es auch durch die Aktualsisierung des Agents nicht wieder aufgetaucht ist, wüsste ich adhoc gar nicht, wo ich das Ding zum Testen nochmal herbekommen sollte.
Aber es ist vermutlich eh ein false Positive. Bei Github haben wir mittlerweile ein paar Issues dazu gefunden:
https://github.com/pyinstaller/pyinstaller/issues/4633
Re: Trojaner in runw.exe?
Es handelt sich um ein binary, was von pyinstaller erzeugt wird. Seit dem letzten Sophos Signatur-update scheint es als gefährlich geflagt zu werden, ist aber ein false positive.
Mit opsiclientd 4.2.0.41 ist wegen einer internen Umstrukturierung die runw.exe nicht mehr erforderlich und wird daher ab opsi-client-agent 4.1.1.12-1 nicht mehr mit ausgeliefert.
Bei Auftreten des hier genannten Problems empfehlen wir die Verwendung des opsi-client-agent aus stable.
Mit opsiclientd 4.2.0.41 ist wegen einer internen Umstrukturierung die runw.exe nicht mehr erforderlich und wird daher ab opsi-client-agent 4.1.1.12-1 nicht mehr mit ausgeliefert.
Bei Auftreten des hier genannten Problems empfehlen wir die Verwendung des opsi-client-agent aus stable.