Synology-System mit Virus von Werk aus? :-/

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
129
Punkte für Reaktionen
1
Punkte
18
Ich habe heute mal einen Systemscan gemacht, nachdem ich meine neue DS215j in Betrieb genommen habe. Und was soll ich sagen? Angeblich ist die Datei /usr/syno/bin/zip (also eine im System enthaltene Datei!) befallen und wurde in die Quarantäne verschoben. Kann ich da von einem Fehlalarm ausgehen oder muss ich mir Sorgen machen?

Als Beweis habe ich einen Screenshot angefügt.
 

Anhänge

  • Virus.jpg
    Virus.jpg
    107,7 KB · Aufrufe: 448

geimist

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
3.483
Punkte für Reaktionen
187
Punkte
129
Gerade mal probiert.
Wird bei mir auch bemängelt …

Ich habe die Datei mal zu Virustotal hochgeladen - nur ClamAV schimpft da. Ich gehe also von einem Fehlalarm aus.

Wenn du die Datei in der Quarantäne lässt, funktioniert vielleicht das packen in der Filestation nicht mehr richtig.
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
197
Punkte für Reaktionen
0
Punkte
16
Gleiche bei mir, gemeldet durch den "Sicherheitsberater". Was ist da nur los. Entweder sind unsere beiden Server befallen, oder es ist ein Fehler von Synology. Hmm...
 

axuaxu

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
306
Punkte für Reaktionen
0
Punkte
0
Synosupport anschrieben?
 

luckytiger

Benutzer
Mitglied seit
27. Aug 2015
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Hallo,

das gleiche Problem habe ich seit heute Morgen auch. Ich vermute auch das beim ClamAV da in den Definitionen ein Fehler ist.
Hat also nicht direkt was mit Synology zu tun, zumal das Zip Binary ja nicht erst seit gestern da existiert.

@Jongleur: Wäre nett wenn du mit uns teilst, was der Synology Support davon hält.

VG
 

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
129
Punkte für Reaktionen
1
Punkte
18
Ich hab's wieder aus der Quarantäne rausgeholt. Support ist auch schon informiert. Ich gehe aber mal von einem Fehlalarm aus.
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
197
Punkte für Reaktionen
0
Punkte
16
Habe die Support-Leute aus Taipeh seit einer Stunde auf meiner Syno, keine Ahnung was die da treiben. :D
Bin gespannt. Komischerweise liegt die ZIP natürlich schon lange da, der Scan wird bei mir aber täglich durchgeführt, es wurde in den letzten tagen aber weder ein update von Synology (hätte die ZIP-Datei ändern können), noch ein Definitions-Update vom Anti-Virus-Programm installiert. Somit hätte das Ding bereits gestern gefunden worden sein müssen oder sehe ich das falsch?
Wie kommt das also? Könnte also auch ein groß angelegter Angriff sein.
Ein Systemweiter Scan hat weitere Bedrohungen in meiner OwnCloud-Installation gefunden. Auch dieses wurde zuletzt am Sonntag gescannt. Seltsam seltsam...
 

geimist

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
3.483
Punkte für Reaktionen
187
Punkte
129
Also bei mir wird die Virendefinitionsdatei vor jedem Scan automatisch aktualisiert. Schau doch mal auf das Datum.
Wäre hier wirklich ein Virus dahinter, hätte wohl nicht gerade nur ClamAV (bei virustotal) gemeckert …
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
197
Punkte für Reaktionen
0
Punkte
16
Genau da steht auch im Eintrag hinter 'Update startet' gleich danach 'Already up to date'. Von daher wurde nichts upgedated. ;) Sollte bei dir ähnlich aussehen...
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
clamav ist nicht gerade bekannt dafür immer zuverlässig treffsicher zu sein. False Positives gibt es dabei immer wieder. Allerdings glaube ich in dem Fall eher, dass es berechtigt ist. Denn die libzip und php5 haben ein interger overflow Problem in bestimmten Versionen (https://security-tracker.debian.org/tracker/CVE-2015-2331) ich vermute darauf springt der Scanner an
Integer overflow in the _zip_cdir_new function in zip_dirent.c in libzip 0.11.2 and earlier, as used in the ZIP extension in PHP before 5.4.39, 5.5.x before 5.5.23, and 5.6.x before 5.6.7 and other products, allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a ZIP archive that contains many entries, leading to a heap-based buffer overflow.
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
197
Punkte für Reaktionen
0
Punkte
16
Warum aber wurde das dann erst jetzt angemeckert vom clamav? Antivirus-Updates gab es in den letzten Tagen keine.
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
such nach der Datei freshclam.conf und guck wie häufig das Update eingestellt ist
 

geimist

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
3.483
Punkte für Reaktionen
187
Punkte
129
Ich habe gerade mal meine persönlichen Firmwarebackup's vom 1.8.15 und 1.3.15 angesehen. Ich wollte die früheren Versionen der Datei mal mit der aktuellen Virendefinition scannen.
In den Archiven gab es jeweils die zip Datei unter /usr/bin gar nicht …
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
mein Vorschlag dazu wäre jetzt: Download der installierten Firmware Version, entpacken und gucken ob es diese Datei gibt. Falls ja dann die md5-Summen beider Files bilden und vergleichen
 

geimist

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
3.483
Punkte für Reaktionen
187
Punkte
129
Ich habe jetzt die PAT Version 5592 geladen und entpackt. Aber unter /usr/bin ist auch hier keine zip.
Bei den nachfolgenden Updates 1-3 ist die Struktur ja nicht so eindeutig beim entpacken.
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
2
Punkte
0
es sollte ja auch /usr/syno/bin sein