Main menu

Search
Login
Signup
Links
<< Previous thread | Next thread >>   
X-Libreoffice 7.5.0 - nuovo launcher infetto?

Author Post
harmand
Sun 26 Feb 2023 - 09:40
online
Registered Member #40487
Joined: Sun 10 Jun 2012 - 06:29
Posts: 51

Premetto che ho inserito questo messaggio anche come commento nella pagina di download e poi ho pensato che forse era più opportuno pubblicarlo qui.
Mi scuso per la ripetizione.

Il nuovo "launcher" X-Libreoffice.exe (1.6.1.0, 571 KB), incluso nella versione 7.5.0, viene bloccato da Avast come potenzialmente infetto da malware, mentre il precedente (1.5.4.0, 539 KB) no.

Sostituendo il nuovo con il vecchio la suite sembra funzionare ugualmente.

Presumo possa trattarsi di un falso positivo, ma in questi casi la prudenza mai è troppa.
Ci sono delle controindicazioni nell'usare il vecchio "launcher" al posto del nuovo?
Back to top
rbon
Sun 26 Feb 2023 - 18:29
online
Registered Member #4134
Joined: Sat 14 Apr 2007 - 11:42
Posts: 915
harmand wrote ...

Il nuovo "launcher" X-Libreoffice.exe (1.6.1.0, 571 KB), incluso nella versione 7.5.0, viene bloccato da Avast come potenzialmente infetto da malware, mentre il precedente (1.5.4.0, 539 KB) no.

Sostituendo il nuovo con il vecchio la suite sembra funzionare ugualmente.

Ciao harmand

per scrupolo ho rifatto il test con il mio antivirus (Kaspersky Total Security - aggiornato) su X-Libreoffice.exe rel. 1.6.1.0 e non viene segnalato nulla di sospetto. Ritengo pertanto che il tuo antivirus non sia così affidabile.
Facendo esaminare il file da VirusTotal -Link- risulta (scheda 2- details) che il file è probabilmente stato compresso con UPX (probabilità al 64%).
Utilizzando UPX Portable -Link- ho verificato che, si, è stato compresso: ti allego il launcher 1.6.1.0 decompresso.

Per quanto riguarda detto launcher rel. 1.6.1.0 ti riporto il post di Michele_Pezza:
Michele_Pezza wrote ...

In allegato una versione di test

il file ini contiene 2 nuove entry
una per l'URL per scaricare Java (qui magari è opportuno puntare a file sul server winpenpack prelevando una copia da Oracle)
l'altra con la directory root del pacchetto (path radice del tarball decompattato)

Per testarla occorre sostituire ini e launcher.

ciao
MP
x-libreoffice_mod_source.zip
x-libreoffice_mod.zip

pertanto il nuovo launcher viene, di fatto, utilizzato principalmente per il primo avvio (installazione) in quanto provvede a scaricare l'archivio di Java (tarball); successivamente non è più necessario (anche se ritengo abbia codice più ottimizzato).
Concludendo, a mio avviso, puoi utilizzare anche il vecchio launcher rel. 1.5.4.0 anche se probabilmente l'avvio di X-LibreOffice sarà leggermente meno veloce.
Ciao

[ Edited Sun 26 Feb 2023 - 19:28 ]
Back to top
rbon
Sun 26 Feb 2023 - 19:34
online
Registered Member #4134
Joined: Sat 14 Apr 2007 - 11:42
Posts: 915
rbon wrote ...

Utilizzando UPX Portable -Link- ho verificato che, si, è stato compresso: ti allego il launcher 1.6.1.0 decompresso.


x-libreoffice_1.6.1.0_no_upx.rar

@Danix,
sarebbe molto saggio sostituire il launcher 1.6.1 con la versione no_upx sulla prossima versione di X-LibreOffice (7.5.1).
Back to top
Danix
Sun 26 Feb 2023 - 19:45

online

Registered Member #1
Joined: Fri 29 Dec 2006 - 05:38
Location: Sassari
Posts: 12956
harmand wrote ...

Presumo possa trattarsi di un falso positivo, ma in questi casi la prudenza mai è troppa.

Il problema, come già segnalato da Michele, dipende dalla compressione UPX: -Link-


rbon wrote ...

@Danix,
sarebbe molto saggio sostituire il launcher 1.6.1 con la versione no_upx sulla prossima versione di X-LibreOffice (7.5.1).

Sì l'ho ricompilato senza compressione UPX. Il tuo non si apre, rbon.

x-libreoffice.zip

@harmand, per favore, verifica se Avast segnala anche questo file.
Back to top
Website
rbon
Sun 26 Feb 2023 - 20:42
online
Registered Member #4134
Joined: Sat 14 Apr 2007 - 11:42
Posts: 915
Danix wrote ...


Sì l'ho ricompilato senza compressione UPX. Il tuo non si apre, rbon.

x-libreoffice.zip


Stranamente il file ricompilato è leggermente più grande di quello che avevo ottenuto decomprimendolo con FUPX.

Danix,
dovrebbe essere questo il motivo (compressione con upx) per il quale Softpedia -Link- non accetta la segnalazione delle tue nuove build di X-LibreOffice 7.4.5/7.5.0.

Back to top
harmand
Mon 27 Feb 2023 - 20:00
online
Registered Member #40487
Joined: Sun 10 Jun 2012 - 06:29
Posts: 51
Danix wrote ...
@harmand, per favore, verifica se Avast segnala anche questo file.

Questo file (che ha dimensioni quasi doppie rispetto all'altro) non viene segnalato da Avast come infetto e quindi, a differenza dell'altro, non viene messo in quarantena.
Però viene "bloccato" e Avast chiede se confermare il blocco o se creare una eccezione, così da permetterne l'esecuzione (anche in futuro).
Mentre invece la versione precedente viene avviata senza alcuna... lamentela da parte dell'antivirus.

Quale potrebbe essere, tecnicamente, il motivo?

PS. Ringrazio per le risposte e per le utili e interessanti informazioni
Back to top
rbon
Tue 28 Feb 2023 - 14:05
online
Registered Member #4134
Joined: Sat 14 Apr 2007 - 11:42
Posts: 915
rbon wrote ...

Sì l'ho ricompilato senza compressione UPX. Il tuo non si apre, rbon.

Scusa se non si apre.

Allego nuovamente il launcher 'X-LibreOffice.exe' rel. 1.6.1.0, creato da Michele_Pezza ma senza compressione UPX, compattato con PeaZip.
Non ci dovrebbero essere più difficoltà per scompattarlo.

@harmand
prova ad usare questo e vedi se hai nuovamente problemi con Avast.
harmand wrote ...

Quale potrebbe essere, tecnicamente, il motivo?

A mio parere il motivo potrebbe essere la scarsa diffusione del launcher 'X-LibreOffice.exe', pertanto il messaggio dell'antivirus dovrebbe significare:
"non lo conosco e nel dubbio lo blocco" considerandolo come un PUA (Potentially Unwanted Application = applicazioni potenzialmente indesiderate).
Io risolverei così la questione:
1. caricherei il file su VirusTotal -Link- - stai tranquillo: è completamente anonimo (per scelta del sito)
2. farei la scansione: se quasi tutti lo reputano inoffensivo stai tranquillo (controlla: Microsoft, Symantec, TrendMicro, ClamAV, F-Secure ed Arcabit)
3. direi che Avast si accanisce contro i programmi creati con AutoIt (3.XX)
4. darei ad Avast l'autorizzazione per sbloccarlo.

ciao

x-libreoffice_1.6.1.0_no_upx.zip

[ Edited Tue 28 Feb 2023 - 14:45 ]
Back to top
harmand
Wed 01 Mar 2023 - 05:03
online
Registered Member #40487
Joined: Sun 10 Jun 2012 - 06:29
Posts: 51
rbon wrote ...

prova ad usare questo e vedi se hai nuovamente problemi con Avast.

Anche con questo file Avast si comporta come con il precedente ("bloccato").

Comunque non è un grosso problema, visto che Libreoffice, per lo meno per l'uso (assai modesto) che ne faccio io, sembra funzionare perfettamente anche con il file della versione precedente.
Eventualmente proverò a seguire il tuo suggerimento (VirusTotal ecc.).

Grazie ancora.
Back to top
Michele_Pezza
Sat 11 Mar 2023 - 11:11
online
Registered Member #41904
Joined: Mon 02 Nov 2015 - 15:44
Posts: 19
La questione relativa agli antivirus è un falso problema...
in quanto chi è capace può esaminare il codice sorgente che è stato allegato,
notare che non vi è nulla di nocivo e compilarsi il proprio launcher.

Gli antivirus controllano i comportamenti dei programmi e rintengono sospetti tutti i programmi
che lanciano altri programmi piuttosto che linee di comando e/o eseguono download
che è proprio quello che fanno gli x-launcher
Sicuramente la compressione UPX è un elemento che può insospettire gli antivirus
ed essere letta come un tentativo di offuscare il codice.

Anche la versioni x-launcher precedenti hanno questi comportamenti
ma gli antivirus le conoscono da tempo e ne hanno incluso l'hashing nelle liste di esclusione
e quindi non le segnalano

Probabilmente sottoponendo la nuova versione in upload per le verifiche nei vari siti degli antivirus
si otterebbe che anche questa non venga più segnalata come sospetta.

In quanto alla prudenza di Harmand mi permetto di suggerire questa lettura
a tutti coloro che utilizzano Avast.

Un saluto
MP
Back to top

Moderators: Danix, Taf, Rcs, Energy, zandet2, ZioZione, Admin, LordJim60

Jump:     Back to top

Syndicate this thread: rss 0.92 Syndicate this thread: rss 2.0 Syndicate this thread: RDF
Powered by e107 Forum System