[gelöst] Virus Meldung nach erneuter Installation aus Synaptic-Paketverwaltung

[Nils]

Guten Abend zusammen (-:

Es geht um meine Passwortverwaltung mit KeePass2.
Dieses Programm verwende ich jeden Tag. Im Hintergrund läuft Sophos Antivirus, um z.B. einem USB-Stick nach schadhaftem Material zu untersuchen.
Ok, soweit so gut. Vorhin meldete jedoch Sophos beim Aufruf von KeePass2:
--------
Threat "Mal/Generic-S" detected file
/usr/lib/keepass2/KeePass.exe
Access to the file has been denied
--------
Unklar ist mir auch, wieso da was von *.exe steht. Ich bin doch im richtigen Film, nämlich Linux Mint 18 Cinnamon.
Wenn ich alles über die Synaptic-Paketverwaltung deinstalliere, dann ist auch die exe weg. Intalliere ich KeePass2 neu, kommt sowohl die Sophos Meldung, als auch die exe ist wieder da.
Wochenlang habe ich nie ne Malware Meldung bekommen.
Habe auch sophos aktualisiert: sudo /opt/sophos-av/bin/savupdate
in der Hoffnung, dass vielleicht der Fehler bei Sophos liegt...

Was meint ihr? Was würdet ihr in meinem Fall machen?

Danke im Voraus!

[Bobby]

Unklar ist mir auch, wieso da was von *.exe steht. Ich bin doch im richtigen Film, nämlich Linux Mint 18.

Die Antwort bekommst du wenn du dir anschaust was passiert wenn du keepass startest.

Code: [Auswählen]

$ cat /usr/bin/keepass

#!/bin/sh
exec /usr/bin/mono /usr/lib/keepass/KeePass.exe "$@"

Das ist tatsächlich die Date die du nutzt.
Das von Sophos ist ein falscher Alarm

[Nils]

@ Bobby  Ok, wieder was gelernt. >Hätte ich ja selber drauf kommen können: Dateisuche .exe, bekomme dann ja mehre diese...

Hab dann mal keepass durch virustotal.com scannen lassen:

https://www.virustotal.com/de/file/9456ba3236c05afa7e9d744207fe90420315caa7af4cc77f9f6c4159fb4fba39/analysis/1468257174/

da finden dann mehre Sanner eine Infektion.

Was soll ich tun? Geht eine Gefahr aus oder täuschen sich die anderen Scanner auch nur? Bin grad ratlos...

[Bobby]

@ Bobby  Ok, wieder was gelernt. >Hätte ich ja selber drauf kommen können: Dateisuche .exe, bekomme dann ja mehre diese...

Hab dann mal keepass durch virustotal.com scannen lassen:

https://www.virustotal.com/de/file/9456ba3236c05afa7e9d744207fe90420315caa7af4cc77f9f6c4159fb4fba39/analysis/1468257174/

da finden dann mehre Sanner eine Infektion.

Was soll ich tun? Geht eine Gefahr aus oder täuschen sich die anderen Scanner auch nur? Bin grad ratlos...

Ich bin kein Malware Analyst und kann dir keine verbindliche, professionelle Meinung geben, aber:
-man findet mit einer Google Suche mehrere Probleme mit falschen Meldungen zu KeePass
- Wenn du hier auf Seite 11 schaust ist Keepass ausdrücklick als false positive aufgeführt http://www.av-comparatives.org/wp-content/uploads/2015/04/avc_fps_201503_en.pdf
- Ein erster Blick auf die Binär-Datei lässt für mich nichts verdächtiges erkennen, das hat aber nur beschränkte Aussagekraft
- Vergleicht man die Datei unter Mint mit der entsprechenden Datei aus den Fedora Repos mit einem Disassembler weißt sie keine Unterschiede auf.

[aexe]

#!/bin/sh
exec /usr/bin/mono /usr/lib/keepass/KeePass.exe "$@"

mono ermöglicht die Benutzung von Windows-Anwendungen unter Linux. Eine etwas fragwürdige und umstrittene Sache.
Ich vermute, daß sich der Virusscanner an irgendeinem Bestandteil der *.exe Datei stört ?

Edit:

Bei KeePassX handelt es sich um eine Software mit Open-Source-Lizenz, die ursprünglich unter dem Namen KeePass/L (L für Linux) als Portierung von KeePass entstand. …
KeePass 2.x für Windows konnte mit der Laufzeitumgebung Mono unter Linux genutzt werden. Dies ist allerdings mit Erscheinen von KeePassX 2.x für Linux Ende 2015 nicht mehr relevant.

https://wiki.ubuntuusers.de/KeePassX/

[ZeckeSZ]

KeePass 2.x für Windows[/b] konnte mit der Laufzeitumgebung Mono unter Linux genutzt werden. Dies ist allerdings mit Erscheinen von KeePassX 2.x für Linux Ende 2015 nicht mehr relevant.

https://wiki.ubuntuusers.de/KeePassX/

Der Autor des Artikels hat das Programm scheinbar nicht ausprobiert, für mich ist das sehr wohl noch relevant. Die Einstellungsmöglichkeiten von KeePassX 2.x wurden dermaßen eingeschränkt, dass z.B. eine Anpassung der Ansicht an eigene Gewohnheiten/Vorlieben nicht mehr möglich ist (siehe auch https://www.linuxmintusers.de/index.php?topic=34632.0).
Derzeit habe ich den Vorgänger gepinnt und ich ärgere mich jetzt schon darüber, in naher Zukunft beim Umstieg auf KeePass 2 eine "*.exe" auf meinem System vorfinden zu müssen.

Allerdings könnte man die reine Passwortverwaltung auch über TuxCards oder CherryTree und gpg lösen...

[aexe]

Dazu kann ich nichts sagen, weil ich KeyPass nicht verwende, weder das eine noch das andere.
Ich habe den UU-Wiki Artikel überflogen.
Mein Gedanke war dann, anstelle von KeyPass 2.x (für Windows) dieses KeyPassX (für Linux, in welcher Version auch immer) zu verwenden, würde evtl auch die Virus-Meldung beseitigen.
Zusätzlich gäbe es dann vermutlich auch kein Unbehagen wegen einer *.exe im System?
Bei mir würde die sowieso nicht funktionieren, weil ich mono entfernt habe.

[lm15user]

Guten Abend zusammen (-:

Es geht um meine Passwortverwaltung mit KeePass2.
Dieses Programm verwende ich jeden Tag. Im Hintergrund läuft Sophos Antivirus, um z.B. einem USB-Stick nach schadhaftem Material zu untersuchen.
Ok, soweit so gut. Vorhin meldete jedoch Sophos beim Aufruf von KeePass2:
--------
Threat "Mal/Generic-S" detected file
/usr/lib/keepass2/KeePass.exe
Access to the file has been denied
--------
Unklar ist mir auch, wieso da was von *.exe steht. Ich bin doch im richtigen Film, nämlich Linux Mint 18 Cinnamon.
Wenn ich alles über die Synaptic-Paketverwaltung deinstalliere, dann ist auch die exe weg. Intalliere ich KeePass2 neu, kommt sowohl die Sophos Meldung, als auch die exe ist wieder da.
Wochenlang habe ich nie ne Malware Meldung bekommen.
Habe auch sophos aktualisiert: sudo /opt/sophos-av/bin/savupdate
in der Hoffnung, dass vielleicht der Fehler bei Sophos liegt...

Was meint ihr? Was würdet ihr in meinem Fall machen?

Danke im Voraus!

DITO!
Benutze KeePass2 schon seit Jahren o.V. auf meinen Dual Boot-Rechenknechten. Die DB *.kdbx liegt auf einer gemeinsam genutzten Partition und wird auch im NW via ownCloud synchronisiert.
Jetzt plötzlich, unter LM17.3, popt exakt die selbe Meldung von sophos-av auf.
KP ist via ppa instaliert und aktuell, ebenso ist sophos-av aktuell.
Die KeePass.exe kann mein FF nicht mal auf virustotal zum scannen hochladen. sophos-av blockt sie sofort.
Und ja, ich weiß dass die DB *.kdbx auch mit KeePassX -jetzt- kompatibel ist. Das war aber nicht immer so.
Das funzt so jetzt auch problemlos.
Vorher hatte man entweder 'nur' die kdb-DB-Variante und konnte sie auf Win mit KP und auf Ubuntu/LM mit KPX nutzen oder eben die kdbx auf beiden OS via KP. Letzteres war eben komfortabler (bequemer). Naja, der humanoide Mensch (WITZIG!) ist eben auch nur ein Gewohnheits- Tierchen.
Auf der HP von Sophos hab ich zwar einen 2 Jahre alten Post http://bit.ly/29HIOhL gefunden, aber der bezieht sich auf das FF-Addon keefox. Auf div. anderen WS's von Sophos, wie bspw. auf der "award-winning threat news room" von "Naked Security Sophos" http://bit.ly/29HNEvx, wird zwar des öfteren KP pos. bewertet, Post's zu Infizierungen oder ähnliches fand ich nicht.

Also auch ich bin in erwartungsvoller Gespanntheit auf Hinweise und Tipps zur Lösung dieses kleinen Problemchens!
Vorab schon einmal meinen grossen Dank an die Wissenden, die mich, die uns an ihren Erkenntnissen teilhaftig werden lassen!

PS: Sry, aber mir war gerade mal nach schwulzigem Geschwafel zumute!    Warum? Na, es ist Mittag und ich habe Hunger!!!

Der Humor ist eins der Elemente des Genies, aber sobald er vorwaltet, nur ein Surrogat desselben; er begleitet die abnehmende Kunst, zerstört, vernichtet sie zuletzt.
Johann Wolfgang von Goethe
Heee?
Klingt gut, oder?

[Mintnix]

Dualboot

Sagt doch schon alles.
Da wird dein Winzeugs leider verseucht sein und du schleppst es ins Linux rein, wo es vielleicht kein Schaden machen kann, aber dennoch von deinem AV erkannt wird. Vielleicht hast du den Virus z.B. auf einem oder allen ext. Datenträgern, in der Cloud oder sonst wo. Viel Spass beim Entfernen.

[Bobby]

Also auch ich bin in erwartungsvoller Gespanntheit auf Hinweise und Tipps zur Lösung dieses kleinen Problemchens!

Hast du den bisherigen Threadverlauf durchgelesen?

Dualboot

Sagt doch schon alles.
Da wird dein Winzeugs leider verseucht sein und du schleppst es ins Linux rein, wo es vielleicht kein Schaden machen kann, aber dennoch von deinem AV erkannt wird. Vielleicht hast du den Virus z.B. auf einem oder allen ext. Datenträgern, in der Cloud oder sonst wo. Viel Spass beim Entfernen.

Bitte erst den Thread lesen, dann den Beitrag von lm15user.
Es ist nicht irgendwo ein Virus, sondern die gleiche Antiviren-Software wie beim TE beschwert sich über eine konkrete und bekannte ausführbare Datei auf seinem Linux-System. Dazu wurde im Thread schon etwas geschrieben.

[Mintnix]

Dann lautet die Lösung: Anderes AV benutzen.

[Moridian]

https://www.virustotal.com/de/file/9456ba3236c05afa7e9d744207fe90420315caa7af4cc77f9f6c4159fb4fba39/analysis/

Kannst ja mal den MD5 Wert abgleichen ob es die gleiche Datei ist.
MD5 dc3cb9f60b2fb18c2730e12cffb8c593

Sonst Antwort #9

[lm15user]

Dualboot

Sagt doch schon alles.
Da wird dein Winzeugs leider verseucht sein und du schleppst es ins Linux rein, wo es vielleicht kein Schaden machen kann, aber dennoch von deinem AV erkannt wird. Vielleicht hast du den Virus z.B. auf einem oder allen ext. Datenträgern, in der Cloud oder sonst wo. Viel Spass beim Entfernen.

Na, ich weiß nicht wie du darauf kommst?!
Die KeePass.exe, um die es hier geht, wurde, wie schon oben von mir gepostet, via ppa installiert und liegt in /usr/lib/keepass2.
Die von beiden OS genutzte DB *.kdbx liegt auf einer anderen Partition in einem Verzeichnis und ist vom Bloking durch sophos-av völlig unberührt.
Wie also sollte die exe dann mit oder durch mein "... Winzeugs leider verseucht ..." sein?
Im Übrigen: Meine Windows-BS'e sind clean! Die checke ich regelmäßig durch ein externes AV-OS! So auch aktuell!

Bin auf Win geswitch und hab die betreffende KP.exe via FF auf vintotal hochgeladen.
Ergebnis: http://bit.ly/29HTH38 8 von 53 AV's haben mutmaßlich verdächtige Signaturen erkannt.
Analog dazu hab ich die KP.exe in Win (C:\Program Files (x86)\KeePass Password Safe 2) auch per vintotal scannen lassen.
Ergebnis: http://bit.ly/29HViWC 0 von 53 AV's haben mutmaßlich verdächtige Signaturen erkannt.

Ergo stimmt vermutlich etwas nicht mit der ppa dazu.
Ob und in wie weit meine Spekulation zutreffend ist, überlasse ich gern anderen, die sich da auskennen.

[Bobby]

Ergo stimmt vermutlich etwas nicht mit der ppa dazu.
Ob und in wie weit meine Spekulation zutreffend ist, überlasse ich gern anderen

Da der TE das gleiche Problem bei der gleichen Software hat, diese aber aus den offiziellen Paketquellen installiert hat, halte ich das jetzt nicht für die logischste Erklärung.