Journal Virus dans uclibc

• # Faux positif?

  Posté par GG (site web personnel) le 11 août 2023 à 12:23. Évalué à 10.

  

  Il n'y avait pas une histoire de faux positifs ?

  Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • [^] # Re: Faux positif?

    Posté par Olivier Esver (site web personnel) le 11 août 2023 à 12:25. Évalué à 9.

    

    Il me semble que si : https://linuxfr.org/users/devede/journaux/virus-mirai-dans-ventoy

    S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: Faux positif?

      Posté par pulkomandy (site web personnel, Mastodon) le 11 août 2023 à 12:28. Évalué à 10.

      

      Oui, il n'y a pas de virus dans uclibc, mais par contre il y a uclibc dans un virus.

• # Déjà vu, faux positif

  Posté par Benoît Sibaud (site web personnel) le 11 août 2023 à 12:24. Évalué à 10. Dernière modification le 11 août 2023 à 12:25.

  

  https://linuxfr.org/users/tout/journaux/virus-dans-uclibc
  https://linuxfr.org/users/devede/journaux/virus-mirai-dans-ventoy
  https://bugs.busybox.net/show_bug.cgi?id=13396#c2
  …

• # Pas de faux positif

  Posté par terre le 11 août 2023 à 13:16. Évalué à -10.

  

  Non, ce n'est pas un faux positif. 20 antivirus y détectent Gafgyt et ce nombre croît régulièrement.

  • [^] # Re: Pas de faux positif

    Posté par octane le 11 août 2023 à 13:23. Évalué à 10.

    

    Les éditeurs d'antivirus ont un mauvais penchant. Ils veulent tous que leur antivirus détectent tous les virus, et encore mieux que les autres. Donc ils cherchent tous à faire mieux que les autres, et si toto déclare que uclibc est un virus, alors titi va vite se dépecher de dire lui aussi que c'est un méchant virus pour afficher un plus grand nombre de détections que le concurrent.

    Long story short: uclibc n'a pas de virus, et les liens virustotal détectent tout et n'importe quoi.

    • [^] # Re: Pas de faux positif

      Posté par terre le 11 août 2023 à 13:27. Évalué à -10.

      

      Les arguments pour ne pas reconnaître que Linux est aussi infecté par des virus deviennent de plus en plus farfelus.

      • [^] # Re: Pas de faux positif

        Posté par octane le 11 août 2023 à 13:31. Évalué à 10.

        

        ah c'est un troll d'été. Je vais me resservir une margharita et attendre que ça passe loin des écrans.

        Et les virus sous linux dont tu parles, ils sont dans cette pièce avec nous en ce moment?

      • [^] # Re: Pas de faux positif

        Posté par mrlem (site web personnel) le 11 août 2023 à 13:57. Évalué à 4.

        

        Ben quand je lis les arguments et sources évoqués dans les différents commentaires, ça ne paraît pas être un scénario extravagant, vu le fonctionnement des anti-virus.

        Oui, il n'y a pas de virus dans uclibc, mais par contre il y a uclibc dans un virus.

        https://bugs.busybox.net/show_bug.cgi?id=13396#c2

        Après, oui, dire que les anti-virus détectent tout est n'importe quoi est une grosse généralisation, mais pour le cas précis évoqué, ça semble être crédible.

        • [^] # Re: Pas de faux positif

          Posté par eastwind☯ le 11 août 2023 à 19:11. Évalué à 5. Dernière modification le 11 août 2023 à 19:12.

          

          C'est précisément cela le problème, on ne sait pas comment les antivirus en question ont classifiés comme virus le logiciel , dès lors il est impossible de se faire une idée certaine. Il faudrait qu'ils donnent au moins le hash de la version qu'ils ont considéré être un virus , ce qui permettra la comparabilité indépendante (on recompile et on voit de quoi on parle ) D'ailleurs comment font ils pour comparer entre eux dans leurs courses à la détection s'ils donnent pas le hash ?

      • [^] # Re: Pas de faux positif

        Posté par Benoît Sibaud (site web personnel) le 11 août 2023 à 14:56. Évalué à 10.

        

        Supposons que tu ne sois pas un troll, juste quelqu'un qui ne lit pas les réponses données et/ou lit mal l'anglais : le logiciel hypothétiquement concerné a été publié en 2009, soit 7 ans avant la découverte du virus évoqué. Soit les antivirus concernés ont été aveugles pendant 7 ans, et alors autant ne pas s'y fier aveuglément, soit ils se gourrent, faux positif, et alors autant ne pas s'y fier aveuglément.

        • [^] # Commentaire supprimé

          Posté par Anonyme le 11 août 2023 à 15:15. Évalué à 10.

          

          Ce commentaire a été supprimé par l’équipe de modération.

          • [^] # Re: Pas de faux positif

            Posté par Benoît Sibaud (site web personnel) le 11 août 2023 à 17:54. Évalué à 10.

            

            Surtout en sachant que l'une des demandes précédentes avec déjà les mêmes réponses provient de la même personne selon toute probabilité… heureusement que ce n'est pas vraiment pour elle que je fournis les infos, mais pour des personnes qui seraient vraiment intéressées ou bien inquiétées à tort.

      • [^] # Re: Pas de faux positif

        Posté par abriotde le 12 août 2023 à 22:13. Évalué à 3. Dernière modification le 12 août 2023 à 22:14.

        

        Ca ne veux rien dire en sois qu'un anti-virus détecte un virus.

        • Soit il y a un faille, une backdoor, ou un comportement non souhaitable dans un logiciel, dans ce cas, s'il est Open-Source (ce qui est le cas ici), on doit trouver ou.
        • Soit il n'y a pas de virus dedans mais alors soit la version binaire installée est verolé soit l'anti-virus se plante: pour le savoir il faut une analyse sérieuse du comportement du logiciel et l'on peut alors identifier le comportement problématique et dans le cas d'un logiciel open-source remonté au code.

        • [^] # Re: Pas de faux positif

          Posté par octane le 16 août 2023 à 16:10. Évalué à 10.

          

          surtout que les antivirus c'est toujours une source de lol:

          $ cat aha.c 
          #include <stdio.h>
          #include <string.h>
          
          void main() {
              printf("Your computer is infected!! Now give me the ransom HAHAHAHA\n");
              printf("Send tout plein de bitcoins! Tout plein tout plein!!\n");
          }
          $ make aha
          cc     aha.c   -o aha
          $ sha256sum aha
          bcf0f91d54d86149b3e7975ec350a27b356be3f4f53e8123225fc9c2d21b2fe5  aha
          $
          

          Et sur virustotal, ce splendide fichier super dangereux oulala faut faire gaffe est détecté comme un virus, si si:

          https://www.virustotal.com/gui/file/bcf0f91d54d86149b3e7975ec350a27b356be3f4f53e8123225fc9c2d21b2fe5?nocache=1

          Et encore, c'est parcequ'il s'agit d'un fichier ELF linux, le même compilé sous windows aurait un meilleur score. Bref. Je dis pas que les éditeurs d'AV flaggent tout et n'importe quoi comme un virus, je dis qu'ils préfèrent flagger des trucs bénins comme un virus plutôt que de se faire dépasser par un concurrent.

          • [^] # Re: Pas de faux positif

            Posté par gUI (Mastodon) le 16 août 2023 à 17:12. Évalué à 8.

            

            Normal que ce soit chelou ton truc, déjà c'est codé en C.

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: Pas de faux positif

            Posté par Zenitram (site web personnel) le 18 août 2023 à 09:49. Évalué à 7.

            

            Et encore, c'est parcequ'il s'agit d'un fichier ELF linux, le même compilé sous windows aurait un meilleur score.

            Tout de suite… Bon, OK, 7x plus :-p.
            https://www.virustotal.com/gui/file/5afcf474fa6e0eb3630a78c30e464fdf7d1e72118754287569d0aedd5f73b11a

      • [^] # Re: Pas de faux positif

        Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) le 13 août 2023 à 15:51. Évalué à 3.

        

        Un virus infecté par un virus, on se rapproche de la complexité du vivant. Par ailleurs les dates concordent approximativement (la découverte date de 2008), et D. Raoult semble impliqué. Sans doute un complot :-).

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

  • [^] # Re: Pas de faux positif

    Posté par eastwind☯ le 11 août 2023 à 19:16. Évalué à 1.

    

    La question est comment est ce qu'ils le font , pas le nombre d'antivirus qui le font (car si chacun le fait avec la même type de méthode qui mène à des faux positifs alors ce nombre ne signifie rien) Du coup pour le savoir à coup sur il faudrait connaitre leur méthodologie et pouvoir reproduire , donc avoir le hash au moins du binaire en question , et comme c'est un logiciel libre , on le recompile et on voit de quoi on parle.

    Sinon cette crédibilité me semble insuffisament fondé (au moins scientifiquement)

• # Show me the code !

  Posté par gUI (Mastodon) le 11 août 2023 à 20:29. Évalué à 10.

  

  Non mais il n'y a pas à tartiner pendant des heures, si quelqu'un affirme qu'il y a un virus dans uClibc, il suffit de montrer les lignes de code concernées et il n'y aura plus de place pour un doute.

  Au boulot : https://git.uclibc.org/uClibc/tree/

  En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • [^] # Re: Show me the code !

    Posté par eastwind☯ le 11 août 2023 à 22:23. Évalué à 5.

    

    Le problème c'est le binaire pas forcément le code source … Les AV détèctent les signature sur le binaire, le problème est de savoir ce qu'ils ont détecté, et la c'est le trou noir d'information .. D'ou l'idée de donner le hash pour qu'on puisse comparer les binaire (après recompilation ou autre méthode)

    • [^] # Re: Show me the code !

      Posté par palm123 (site web personnel) le 12 août 2023 à 08:33. Évalué à 5.

      

      sur le même thème le logiciel Captvty (du site captvty.fr) est régulièrement détecté comme un virus par les antivirus.

      ウィズコロナ

    • [^] # Re: Show me the code !

      Posté par gUI (Mastodon) le 12 août 2023 à 12:09. Évalué à 5. Dernière modification le 12 août 2023 à 12:09.

      

      Le problème c'est le binaire

      Certes, mais là aussi ça tiens pas longtemps comme raisonnement. uClibc étant une version légère de la libc, elle est utilisée la plupart du temps dans de l'embarqué, où les cibles sont nombreuses qui fait que chacun se la compile en général.

      Je ne sais pas qui télécharge les binaires sur le site web pour se faire un système custom.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Show me the code !

        Posté par eastwind☯ le 12 août 2023 à 12:12. Évalué à 4. Dernière modification le 12 août 2023 à 12:12.

        

        En fait le problème c'est l'information sur le binaire qu'ils ont flaggé en tant que virus , seulement après on peut examiner , mais on a ne sait pas cette information précise. Donc incomparable

        • [^] # Re: Show me the code !

          Posté par Philippe F (site web personnel) le 13 août 2023 à 14:06. Évalué à 10.

          

          Pour ceux qui ont du temps à perdre, il y a deux choses à faire:
          - recompiler soit même ublibc et le soumettre à l'antivirus pour être sûr que c'est bien la version opensource qui est flaggée et pas un binaire trafiqué.
          - effacer des morceaux du binaire pour voir quelle partie génère l'alerte (bon courage!)
          - inspecter la partie en question et comprendre pourquoi c'est détecté comme un virus.

          Une hypothèse assez plausible est quand même qu'un virus a un jour utilisé une vieille version de ublibc et que les fabriquants d'antivirus ont activé l'alerte de façon bourrine sans chercher à comprendre.

• # Freebox

  Posté par terre le 11 août 2023 à 22:59. Évalué à -10. Dernière modification le 11 août 2023 à 23:00.

  

  Certaines Freebox utilisent uclibc, mais quelle version ?

  • [^] # Re: Freebox

    Posté par pasBill pasGates le 12 août 2023 à 01:43. Évalué à 10.

    

    Les Freebox sont toutes contrôlées par le KGB, j'ai vu plusieurs binaires qui contiennent le mot RGB qui clairement est une réference légerement modifiée au KGB.

    • [^] # Re: Freebox

      Posté par abbe_sayday le 12 août 2023 à 15:19. Évalué à 8.

      

      Pff n'importe quoi, encore une théorie du complot fumeuse.

      Tout le monde sait que la Freebox est contrôlée par le MSS, Ministère de la sécurité de l’État chinois, Guóānbù pour les intimes, sans lequel jamais une vulgaire TPE de rien du tout comme Illiad n'aurait pu intégrer le Grand Firewall.

      Xièxie 🇨🇳 🇨🇳 🇨🇳

      Nec spe, nec metu

    • [^] # Re: Freebox

      Posté par sobriquet le 15 août 2023 à 01:56. Évalué à 8.

      

      D'ailleurs, rouge se dit "krasnyy" en russe, vert se dit "Greenaşyl" en turkmène, et bleu se dit "blakitny" en biélorusse. krasnyy-Greenaşyl-blakitny : KGB. Coïncidence ? Je ne crois pas.

  • [^] # Re: Freebox

    Posté par Benoît Sibaud (site web personnel) le 12 août 2023 à 16:27. Évalué à 10.

    

    #team1er° facile, il suffit de regarder sur https://floss.freebox.fr/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.