? Malware in Knoppix DVD ISO - \efi\boot\BOOTIA32.efi ?

[engine]

hi,
mein Malwarebytes meldet bezüglich der hier angebotene Knoppix DVD ISO eine mögliche Malware.
KNOPPIX_V9.1DVD-2021-01-25-DE.iso, sha256 stimmt.
http://ftp.uni-kl.de/pub/linux/knoppix-dvd/KNOPPIX_V9.1DVD-2021-01-25-DE.iso.sha256

Auch Virustotal:
https://www.virustotal.com/gui/file...168fa881d772a44c53cb0b73bf82a85fa9f/detection

\efi\boot\BOOTIA32.efi

manipuliert die so heftig? Oder ist das doch eine Malware?

 

[madmax2010]

Kann halt schon sein, dass einige antivirenprogramme das als virus erkennen. Es sind halt antivirenprogramme. Immerhin ist malwarebytes keine Bedrohung in sich
Da wird irgendeine wildgewordene heuristik sich irren

Die checksumme stimmt und kollisionen auf sha256 sind bis heute eher Aufwaendig.

Hol dir mal noch ein image von irgendeinem anderen mirror. Spaetestens wenn das da auch auftritt kannst du malwarebytes ignorieren

 

[Marco01_809]

Naja, 2x Possible_Virus, beide vom gleichen Anbieter. Und 1x "Generic.Trojan". Das ist wohl eher ein false positive.

 

[|SoulReaver|]

Kaum vorstellbar, dass CB was hoch ladet das Schadsoftware beinhaltet. Und die Linux Spezies von CB wüssten da auch Bescheid.

Edit ups sehe gerade der hier bezieht sich auf den Link.

 

[madmax2010]

oh ehm. sehe gerade ftp over http. das sollte man in 2021 nicht machen. Da kann theoretisch jeder auf der Strecke dran herumgeschraubt haben.
Bitte mindestens ftps / sftp

Aber da die checksumme stimmt ja

 

[engine]

Malwarebytes:
Malware.Heuristic.1004, P:\EFI\BOOT\BOOTIA32.EFI

CRC32: 6F233F58
MD5: 14733AB8DAAA347BDE2982A040434B05
SHA-1: AB97A51D691BB2D21FCFDD88FBD4DB769670FC56
SHA-256: C8B1A236D83E17832A2798453A453168FA881D772A44C53CB0B73BF82A85FA9F
SHA-512: EB0BE5FC4A0B3B997A645585203A63D3FEEB6A7A33B2E0D9F4DA26E4917EBFF0790BFE912EE0913041FB5B440E663851F24DFDA8A01C4D6E42066D0BFFE6D0CA

Ergänzung (6. Juni 2021)

oh ehm. sehe gerade ftp over http....

Stimmt .
Auf die Schnelle geschludert.
Aber oft nimmt man, was angeboten wird, was meinst wie viele noch TLS1.1 einsetzen und keiner merkts offensichtlich.
Aber http://www.knoppix.org/
ist mir aufgefallen, ich traue dem nicht mehr !

 

[|SoulReaver|]

Also ich verstehe das Ganze ehrlich gesagt nicht so. Ich bin ja schon froh ein Linux neben Windows hin zu bekommen. Wieso hast du denn das Knoppix nicht hier bei CB herunter geladen? Hier kannst du dich wohl sicher fühlen nicht ein zu fangen.

 

[engine]

Die habe ich ja von hier, die sha256 habe ich aus einer anderen Quelle, steht doch im ersten Satz "... der hier angebotene ...".

Ach, im Zweifelsfall kann man niemandem vertrauen!

 

[Fenugi]

oh ehm. sehe gerade ftp over http. das sollte man in 2021 nicht machen. Da kann theoretisch jeder auf der Strecke dran herumgeschraubt haben.
Bitte mindestens ftps / sftp

Sorry fürs Klugscheißen, aber ist das nicht einfach nur ein Webserver (lt. Serverbanner nginx) mit Directorylisting und ftp.-A/AAAA-Record?
Ich frage mich sowieso, warum man nicht davon wegkommt; ich finde, das verwirrt Viele doch nur. AVM hat das z. B. auch (https://ftp.avm.de/). Evtl. aus Gründen der Rückwärtskompatibilität?
Beim Rest hast du natürlich vollkommen recht; heutzutage darf man durchaus erwarten, dass das verschlüsselt ist.

 

[engine]

Durch diesen "blöden" Vorfall bin ich nun bei "systemrescue-8.03-amd64.iso" hängen geblieben.
Insgesamt alles geschmeidiger und ich habe auch alles für mich.

Ergänzung (6. Juni 2021)

...
Ich frage mich sowieso, warum man nicht davon wegkommt...

Directorylisting ist doch etwas wunderbares. Ein paar kurze .htaccess-Befehle und man hat keine weiteren Arbeiten mehr.
Eine grafische Oberfläche bedeutet viel mehr Arbeit.

Nur! Sicher sollte die Datenübertragung schon sein.

 

[Fenugi]

Directorylisting ist doch etwas wunderbares. Ein paar kurze .htaccess-Befehle und man hat keine weiteren Arbeiten mehr.
Eine grafische Oberfläche bedeutet viel mehr Arbeit.

Argh, nein! Und ich hatte noch überlegt, mein Posting zu editieren, um es eindeutiger zu machen.
Ich meinte lediglich den ftp.-Record bei HTTP-Verbindungen. Dass das früher oft als ftp://ftp.domain.tdl genutzt wurde, ist für mich nachvollziehbar, aber mittlerweile kann das doch durch etwas Unmissverständlicheres ersetzt werden. Das FTP-Protokoll ist bei http://ftp.domain.tld halt so gar nicht mehr im Spiel.

 

[engine]

Fenugi​

für mich ist das eindeutiger und ich mache mir da keine Gedanken.
Habe deine Ausführung bis auf Directorylisting gar nicht so richtig wahrgenommen, jetzt schon.
Statt z.B. www im A-Record steht halt ftp da und wird an einen ftp-Server weiter geleitet, ist doch sehr logisch.

 

[Nobody007]

Da kann theoretisch jeder auf der Strecke dran herumgeschraubt haben.

Wie kann man Daten beim „Transport“ bearbeiten?
Interessiert mich, daher die Frage.

 

[mkossmann]

\efi\boot\BOOTIA32.efi

ist der Bootloader für ein 32-Bit UEFI. 32bit UEFIs gibt es aber nur auf relativ exotischer Hardware wie z.B Windows-Tablets. Selbst wenn die Datei verseucht wäre, auf eine PC mit 64bit UEFI wird sie nicht benutzt werden.

 

[engine]

Wie kann man Daten beim „Transport“ bearbeiten?
Interessiert mich, daher die Frage.

Da steht theoretisch.
Und in der Praxis kann das aber nur der manipulieren, der das kann, also vermutlich weit unter 10% der Benutzer.
Man muss mit einem Tool (ich kenne nur Wireshark) den unverschlüsselten http-Verkehr abhören und Pakete ersetzen. Bei https geht das schon wesentlich schwerer bis gar nicht.