Symantec AV löscht cmk-update-agent.exe

michael.blaser · September 24, 2020, 6:32am

Hallo Forum

Gestern hat bei uns der Symantec Endpoint Protection auf allen Server das C:\ProgramData\checkmk\agent\plugins\cmk-update-agent.exe gelöscht.
Also scheint der neuste Virenpattern Update davon auszugehen, das der cmk-update-agent.exe böse ist.

Wir sind nun am Restoren des cmk-update-agent.exe und stellen uns dabei die Frage, welche Pfade oder Files wir in unserer Virenscann Regel ausnehmen sollen.

Gibt es dazu irgendwelche brauchbaren Infos?

Danke schon mal für euer Feedback

Norm · September 24, 2020, 6:49am

Hallo,
zu den Viren Pattern etc. kann ich dir keine Informationen liefern außer, dass ich das Verhalten mit Kaspersky noch nicht hatte.

Aber zu deiner Frage welche Pfade Checkmk benutzt kannst du hier im Handbuch finden:

Eigentlich reicht es aus wenn du die folgenden Pfade whitelistest oder alle .exe Dateien von Checkmk innerhalb der Pfade.

C:\Program Files (x86)\checkmk*
C:\ProgramData\checkmk\agent*

Gruß Norm

michael.blaser · September 24, 2020, 7:40am

Hallo Norm
Danke für dein Feedback.
Ja die Pfade kenne ich, aber ich vermisse eine Empfehlung des Herstellers, einfach die ganze Pfade auszuklammern sehe ich doch etwas zu grosszügige Ausnahmen.
In der Regel gibt der SW Hersteller eine Empfehlung in Form eines KB Artikel oder ähnliches, welches ich den AV Jungs zur Verfügung stellen kann.
Also formuliere ich meine Frage um, gibt es eine offizielle Empfehlungen von checkmk/tribe29?

pitchfork · September 24, 2020, 8:29am

Gegenfrage! Warum stuft symantec die exe als schädlich ein?

michael.blaser · September 24, 2020, 10:18am

Malware Heur.AdvML.B wurde erkannt.

gulaschcowboy · September 24, 2020, 3:36pm

Es ist vermutlich der in 1.6 verwendete pyinstaller in cmk-update-agent.exe. Damit hatten wir (und nicht nur wir) bereits mehrfach false-positive Spaß, u.a. in Web-Proxys mit AV Funktionalität. Ab er nächsten Version wird das nicht mehr passieren, da der pyinstaller rausfliegt.

gulaschcowboy · September 24, 2020, 3:36pm

Stand jetzt: Was Norm sagt. Ist auch nicht “zu großzügig”, da die Plugins und damit auch der Updater an 2 Stellen liegt und das MSI bzw. der Updater während eines Updates temporär umkopiert werden muss.

Wie gesagt, es ist der pyinstaller in der exe der “erkannt” wird, da anscheinend vor Jahren böse Buben den pyinstaller für Ihre Projekte benutzt haben.

system · September 24, 2021, 3:36pm

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed.