Alerte aux malwares sur Ventoy

[mélodie]

Bonjour,

un membre d'une liste de discussions libriste a rapporté ceci:

Si vous avez utilisé Ventoy pour faire des clés USB avec des ISO de
Linux, méfiance. Il y a apparemment dedans le virus Mirai qui cible
Linux. Si c'est volontaire, qui est derrière cette attaque ? Faites
passer le message s'il vous plaît.

https://www.virustotal.com/gui/file/da2 ... /detection
https://www.virustotal.com/gui/file/041 ... /detection
https://www.virustotal.com/gui/file/766 ... /detection

après quelques échanges sur la liste, la version incriminée est la dernière : 1.0.30, l'utilisateur a bien récupéré les fichiers depuis le site de l'éditeur, et même directement sur github, il a vérifié le HASH 256.

Un rapport de bug a été publié:
https://github.com/ventoy/Ventoy/issues/660

De ce que je vois sur virustotal dans les 3 premiers liens, autant les systèmes GNU/Linux que Windows sont concernés.

Mais est-ce uniquement la version 1.0.30 qui est concernée ? Et que fait ce malware ?

Merci pour les investigations à venir, et bon week-end,
Mélodie

[angelique]

\o_

https://github.com/ventoy/Ventoy/releases

Notes

The install program Ventoy2Disk.exe has not been updated for some releases.
It seems that it has been added to the whitelist of anti-virus software vendors.
But Ventoy2Disk.exe is updated in this release, so there may be some false positives again.

Donc en gros Ventoy2Disk.exe a été updaté dans la 1.0.30 mais du coup les éditeurs AV qui le détecte n'ont pas rajouté dans la liste blanche le bout de code de l'exécutable faussement détecté.

aucune détection sur le sh pour Linux qui permet de créer un clef sudo sh Ventoy2Disk.sh -i /dev/sdX

https://www.virustotal.com/gui/file/0c9 ... /detection

[Malekal_morte]

Salut melodie, ça faisait longtemps.
Ca semble être des faux positifs, d'après la discussion.
Après c'est bizarre que clamav le détecte aussi.