Inaktiv JTL Wawi 1.5.14.3 Windows Server 2016 - Meldung vom Defender, Wawi enthält Virus

[Rico Giesler]

Die Kollegen sind an dem Thema dran und prüfen woran es liegt.

 

[SebastianB]

Hallo zusammen,

ich habe den Download gerade nochmal geprüft - er stimmt mit unserer internen Version überein.

Folgende Daten könnt ihr prüfen:
Dateiname: setup-jtl-wawi_1.5.14.3_0207-1300_a6edad03ba3.exe
SHA256: cf4772997cd0e1811891a9482a9ce079827229cdb0f7d90321e561780cbffc42
Testseite: https://emn178.github.io/online-tools/sha256_checksum.html

 

[SebastianB]

Nochmal genauer:
Unser interner Prozess um die Dateien zu signieren hat einen Schluckauf, deshalb ist die EXE der JTL-Wawi aktuell nicht signiert - was wiederumden Defender (und wohl auch noch zwei andere) dazu veranlasst, die Kompression, die wir verwenden um die EXE kleiner zu machen, als böswillig anzusehen. Das passiert nur bei denjenigen, die den "Cloud-Schutz" aktiv haben. Der statische Schutz hält unsere schöne Warenwirtschaft nicht für böse...

Wir fixen gerade den Buildprozess, um die Signatur wieder hinzukriegen.

 

[Michael Scholz]

Seltsam finde ich nur, dass gestern mein Windows nicht gemault hat, aber eben seit heute morgen. Das verwundert mich viel mehr.

 

[federicososa]

Eine neue installation kann ich verstehen aber eine bereits installierte version ??

 

[Michael Scholz]

Ja das verwundert mich am meisten.

@SebastianB nehmt doch den DL Link runter.
Und da ich Admin bin, bin ich natürlich entsprechend "paranoid" (das gehört zum Job). Wie kann man glaubhaft bestätigen, dass es tatsächlich nur ein Signatur Problem ist und nicht, dass euer Repo ggf. kompromitiert ist?

 

[Electronic70]

Nochmal genauer:
Unser interner Prozess um die Dateien zu signieren hat einen Schluckauf, deshalb ist die EXE der JTL-Wawi aktuell nicht signiert - was wiederumden Defender (und wohl auch noch zwei andere) dazu veranlasst, die Kompression, die wir verwenden um die EXE kleiner zu machen, als böswillig anzusehen. Das passiert nur bei denjenigen, die den "Cloud-Schutz" aktiv haben. Der statische Schutz hält unsere schöne Warenwirtschaft nicht für böse...

Wir fixen gerade den Buildprozess, um die Signatur wieder hinzukriegen.

Hallo,
was heißt das jetzt für mich ?
Soll ich die Wawi dann installieren und die Fehlermeldung ignorieren ?
Oder warten bis das Update erschient ( bitte schnell ) Ebay nervt !

Grüße Peter

 

[Verkäuferlein]

Wir sind noch auf der 1.5.14.2, hatten bei der Installation aber auch eine Meldung von Windows, dass es sich um potenziell gefährliche (nicht signierte) Software handelt.

Das ist aber ehrlich gesagt auch nicht weiter ungewöhnlich, wir hatten das gleiche Problem schon einmal mit Unicorn. Ansonsten kann Dir ja auch keiner garantieren, dass eine Software schadcodefrei ist, selbst wenn diese signiert ist. Es bedeutet ja nur, dass der Herausgeber vertrauenswürdig ist.

Auch die Erkennung als "Malware" ist ja von unterschiedlichen Faktoren abhängig, vermutlich auch von der Verbreitungsgeschwindigkeit, etc. und dann werden halt irgendwann die Virensignaturen angepasst und am Ende auch eine bereits problemlos installierte Software als "Malware" deklariert. Wäre ja doof, wenn ein Virenscanner sagen würde: "Ach nee, die Malware hat sich schon installiert, das melde ich nicht mehr an den Nutzer."

 

[SebastianB]

Hallo,

Durch diese "Cloud-Komponente" kann der Hersteller einer AV-Software jederzeit die Signaturen anpassen - und eben so auch Software auf einmal als schadhaft einstufen, die vor 10 Minuten noch nicht als schadhaft eingestuft wurde.

Wir haben den Download von der Homepage runtergenommen und werden eine 1.5.14.4 bereitstellen die dann hoffentlich nicht wieder fälschlicherweise als schadhaft eingestuft wird. Das wird sich aber vermutlich noch bis kurz nach Mittag hinziehen.

Wenn die Signatur von oben mit Eurem Setup übereinstimmt, handelt es sich um einen Fehlalarm und ihr könnt im Defender entsprechend eine Ausnahme einstellen, damit ihr zügig weiterarbeiten könnt.

LG
Sebastian

 

[Michael Scholz]

Hm, dumme Frage, warum seid ihr jetzt auf 1.5.13.x zurück und nicht nur auf 1.5.14.2?
Irgendwie seltsam gerade.

 

[T4DT.GmbH]

Seltsam finde ich nur, dass gestern mein Windows nicht gemault hat, aber eben seit heute morgen. Das verwundert mich viel mehr.

Heute gegen 3 Uhr hatte Microsoft eine neue Definition für den Cloud-Schutz veröffentlicht. Daher wurden auf allen Systemen im Anschluss die .Exe-Dateien entfernt

 

[sventimo]

Wir haben das gleiche Problem seit Heute 10:02 Uhr. Ohne Vorwarnung läuft nichts mehr.
Hallo JTL: Was sollen/können wir machen?

 

[SebastianB]

Hm, dumme Frage, warum seid ihr jetzt auf 1.5.13.x zurück und nicht nur auf 1.5.14.2?
Irgendwie seltsam gerade.

Weil wir das Problem bei allen 1.5.14.x nachstellen konnten.

@sventimo:
Du kannst eine Ausnahme im Defender einstellen, damit die Wawi nicht mehr blockiert wird.

 

[Michael Scholz]

Weil wir das Problem bei allen 1.5.14.x nachstellen konnten.

Genau das kann ich aktuell mit 1.5.14.2 nicht. das läuft hier ohne zu zicken, egal ob von Defender oder sonst einem anderen Programm/Tool

 

[T4DT.GmbH]

Genau das kann ich aktuell mit 1.5.14.2 nicht. das läuft hier ohne zu zicken, egal ob von Defender oder sonst einem anderen Programm/Tool

Es ist vermutlich im Moment so, dass alle neu gebauten Pakete defekt sind. Die damals gebauten Pakete sind m.M.n. völlig intakt

 

[Rico Giesler]

Eine aktuelle Meldung dazu findet ihr hier: https://forum.jtl-software.de/threa...-fuer-jtl-wawi-durch-antivirensysteme.126670/

 

[Michael Scholz]

Es ist vermutlich im Moment so, dass alle neu gebauten Pakete defekt sind. Die damals gebauten Pakete sind m.M.n. völlig intakt

Das von mir geholte 1.5.14.2 war von heute bevor der Release Zweig .14 zurückgezogen wurde. Eventuell hat man versucht, einfach die .14.2 neu zu bauen und ist dabei auf den selben Fehler gestoßen, obwohl das alte Setup scheinbar in Ordnung war.

 

[T4DT.GmbH]

Das von mir geholte 1.5.14.2 war von heute bevor der Release Zweig .14 zurückgezogen wurde. Eventuell hat man versucht, einfach die .14.2 neu zu bauen und ist dabei auf den selben Fehler gestoßen, obwohl das alte Setup scheinbar in Ordnung war.

Wann du es herunter lädtst ist ja relativ egal. Wann der Build war, ist eher wichtig. Aber meine Vermutung geht in dieselbe Richtung. Wenn ich raten müsste: Ein Fehler im Fody.

 

[Zschopautaler Imker]

Hallo,
selbes Problem... ich habe es ohne hier zu lesen erstmal wieder Hergestellt komisch war für mich nur das nur die Rechner mit Windows Defender betroffen waren und alle mit Kaspersky nicht .... da ich alles auf Kaspersky gebe bin ich im Grunde auch davon ausgegangen das es ein Interner Fehler sein muss ... Das gleiche gab es vor Jahren auch schon mal bei CAO-Faktura .....

Super Schnell reagiert JTL Team ... Danke!!!!

 

[Rico Giesler]

Gestern Abend wurde noch die neue Version 1.5.14.4. released mit der es keine Probleme mehr geben sollte bezüglich fehlerhafter Virenwarnung.