Symantec AV löscht cmk-update-agent.exe

Hallo Forum

Gestern hat bei uns der Symantec Endpoint Protection auf allen Server das C:\ProgramData\checkmk\agent\plugins\cmk-update-agent.exe gelöscht.
Also scheint der neuste Virenpattern Update davon auszugehen, das der cmk-update-agent.exe böse ist.

Wir sind nun am Restoren des cmk-update-agent.exe und stellen uns dabei die Frage, welche Pfade oder Files wir in unserer Virenscann Regel ausnehmen sollen.

Gibt es dazu irgendwelche brauchbaren Infos?

Danke schon mal für euer Feedback

Hallo,
zu den Viren Pattern etc. kann ich dir keine Informationen liefern außer, dass ich das Verhalten mit Kaspersky noch nicht hatte.

Aber zu deiner Frage welche Pfade Checkmk benutzt kannst du hier im Handbuch finden:

Eigentlich reicht es aus wenn du die folgenden Pfade whitelistest oder alle .exe Dateien von Checkmk innerhalb der Pfade.

  • C:\Program Files (x86)\checkmk*

  • C:\ProgramData\checkmk\agent*

Gruß Norm

Hallo Norm
Danke für dein Feedback.
Ja die Pfade kenne ich, aber ich vermisse eine Empfehlung des Herstellers, einfach die ganze Pfade auszuklammern sehe ich doch etwas zu grosszügige Ausnahmen.
In der Regel gibt der SW Hersteller eine Empfehlung in Form eines KB Artikel oder ähnliches, welches ich den AV Jungs zur Verfügung stellen kann.
Also formuliere ich meine Frage um, gibt es eine offizielle Empfehlungen von checkmk/tribe29?

Gegenfrage! Warum stuft symantec die exe als schädlich ein?

Malware Heur.AdvML.B wurde erkannt.

Es ist vermutlich der in 1.6 verwendete pyinstaller in cmk-update-agent.exe. Damit hatten wir (und nicht nur wir) bereits mehrfach false-positive Spaß, u.a. in Web-Proxys mit AV Funktionalität. Ab er nächsten Version wird das nicht mehr passieren, da der pyinstaller rausfliegt.

Stand jetzt: Was Norm sagt. Ist auch nicht “zu großzügig”, da die Plugins und damit auch der Updater an 2 Stellen liegt und das MSI bzw. der Updater während eines Updates temporär umkopiert werden muss.

Wie gesagt, es ist der pyinstaller in der exe der “erkannt” wird, da anscheinend vor Jahren böse Buben den pyinstaller für Ihre Projekte benutzt haben.

2 Likes