CleanPress

Malware: Warnung vor Ventoy

Verfasst von

sla

in

Ich höre ständig von allen Seiten, wie toll Ventoy ist, habe aber selbst mangels Bedarf noch nie den Drang verspürt, das selbst zu testen. Bereits des Öfteren habe ich jedoch gelesen, dass Ventoy als Malware-Schleuder im Verdacht steht. Gerade hat Blogger-Kollege Stefan Hackebeil erneut eine Besorgnis erregende Warnung verfasst, die ich euch nicht vorenthalten möchte. Hier geht’s direkt zum Blog von Stefan.

Ansonsten habe ich den Text hier mal übernommen:

Nachdem die letzten Versionen auf Virustotal wieder steigende Funde verzeichnet haben, 1.0.59 steht bei 4/60, schießt ventoy 1.0.60 mit bislang 13/60 (!) Scannern durch die Decke.

Ich werde mich nicht erneut an den Programmierer wenden, nur um dummes Zeug lesen zu müssen. Das Programm an sich ist in seiner Art Spitze, es wird stetig ausgebaut, aber verbietet sich durch sowas, genauer, der Programmierer selbst deklariert es mit seinen Ausflüchten, die ein massives technisches Unverständnis erkennen lassen, als potentiell gefährlich und eben nicht einsetzbar.

Nun schlagen derzeit die Scanner bei Windows-Versionen wieder massiv an, bei Linux-Versionen noch nicht. Es ist freilich die Frage, wie die Scanner auf Virustotal überhaupt Linux-Software testen – Funde hat es durchaus schon gegeben – wie dies zu bewerten ist. Wenn jedoch ein Programmierer derart sorglos und luschig arbeitet, muß man es insgesamt annehmen. Und Code für jeweilige OS wird er auch nicht komplett und getrennt neu schreiben, sondern möglichst in einem OS multiOS kompilieren und im LAN kopieren.

Es sei ausdrücklich vor dem Einsatz von Ventoy gewarnt.

axbase.net

Nun muss jeder entscheiden, ob er dieses Tool besonders unter Windows weiterhin verwenden möchte. Die Situation unter Linux scheint ja noch ungeklärt zu sein. Mir würde das jedenfalls ausreichen, um mich auch unter Linux nach Alternativen umzusehen. Danke an Stefan für die anhaltende Berichterstattung über diese Bedrohung.

Kommentare

40 Antworten zu „Malware: Warnung vor Ventoy“

  1. Avatar von thoys
    thoys

    Die Idee von Ventoy ist net. Gerade, da ich immer wieder beruflich in die Situation komme, dass ich anderen verschiedene Distributionen zeigen möchte. Leider hat es bei mir nie richtig gebootet.

    Davon abgesehen, ist es wirklich schade, dass die Entwickler offensichtlich auf Featur-Ausbau und nicht auf die Qualität der Grundfunktionen achten.

    Danke dir für den Hinweis

    Antworten
  2. Avatar von Schroeffu
    Schroeffu

    Was ist Ventoy?

    Antworten
  3. Avatar von detlef s
    detlef s

    Hallo, erst mal Danke für solche Hinweise, ich habe mal geschaut, ob es in den offiziellen Paketquellen von debian zu finden ist, weder über Synaptic, noch in diesem Mysteriösen App-Store. Ich bin sowieso der Meinung, das man bei den jeweiligen Quellen des eigenen Systems bleiben sollte, sofern die möglich ist.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Ich bin sowieso der Meinung, das man bei den jeweiligen Quellen des eigenen Systems bleiben sollte, sofern die möglich ist.

      Das ist fast immer das empfehlenswerte Vorgehen.

      Antworten
      1. Avatar von Christopher
        Christopher

        Ich kann das nur bestätigen.
        Habe selber schon meine Erfahrungen damit machen dürfen (die waren aber ungefährlicher Natur, eher Inkompatibilitäten).
        Lobenswerter Weise möchte ich hier den Vivaldi Browser erwähnen. Von der Art und Weise der Einnistung in die sources.list mal abgesehen, aber die Diskussion hatten wir ja schon.
        Es gibt ganz sicher noch weitere gute Beispiele.
        Um so wichtiger finde ich solche Beiträge die explizit davor warnen. Wir hatten ja erst kürzlich das Thema zu Imager Programmen und da wurde dieses fälschlicherweise hervorgehoben, weil nicht bekannt war wie es darum steht.
        Ich habe gelernt, dass um so näher ich an den original Debian Quellen bleibe, um so weniger Probleme habe ich mit dem System.
        Ich denke das ist auch analog zu anderen Distributionen zu sehen.
        Bleibt weiterhin sauber!

        Antworten
  4. Avatar von Marcus Borchel
    Marcus Borchel

    Tja, ich erstelle meine bbotfähigen USB-Sticks ganz klassisch mit dd.

    Antworten
    1. Avatar von no one
      no one

      Das ist nicht vergleichbar. Wenn man Ventoy mal auf einem USB Stick installiert hat, kann man mehrere ISOs einfach auf den Stick kopieren, den Ventoy Stick booten und dann in einem grapfischen Menü wählen, welches Image gebootet werden soll.

      Antworten
  5. Avatar von orbit
    orbit

    Bisher kannte ich den Blog ‚axebase.net‘ nicht. Der hier zitierte Blog-Artikel gibt mir lediglich eine durchaus angebrachte Warnung weiter. Der Rest ist für mich als Leser indiskutabel. Der Programmautor soll keine Ahnung haben, aber begründet wird das nicht. Mehrere Virenscanner melden einen Trojaner, aber von beobachteten Trojaner-Auffälligkeiten oder -Analysen wird nicht berichtet.
    Aus meiner Zeit als Windows-user sind mir etliche false-positive Meldungen untergekommen. Sicher sind die extrem störend. Wenn es sich auch hier um ein ‚false-positive‘ handeln sollte, dann sollte man der Entwicklung der Software auch die Zeit geben. Wenn doch eine Malware vorliegt wünsche ich mir aber eine seriösere Berichterstattung.
    Ich selbst setze Ventoy ein und bin hochzufrieden damit. Unter Linux wird es übrigens nicht installiert, sondern ein Script sorgt für die ‚Behandlung‘ des USB-Datenträgers. Man kann inzwischen aber auch eine GUI nutzen.
    Die hier vertretene Linux-Philosophie, möglichst nur aus den offiziellen Repos zu installieren teile ich aber. Bei mir werden bislang nicht einmal Snaps oder FlatPaks installiert, auch wenn andere Ausnahmen durchaus vorkommen.
    In den Manjaro-Repos findet sich übrigens derzeit Ventoy in der Version 1.0.54.

    Antworten
    1. Avatar von axt
      axt

      aber begründet wird das nicht.

      Direkt unter dem Posting finden sich Links. Wenn ich eines nicht mag, sind es unnötige Wiederholungen.

      Antworten
      1. Avatar von Gyges
        Gyges

        Und da waren es nur noch 4. Jiangmin, Arcabit und zwei weitere Scanner, von denen man noch nie gehört hat. Wenn man schon solch alarmistische Wasserstände ohne Substanz raushaut, sollte man wenigstens den Anstand haben, auch wieder Entwarnung zu geben. Oder sind diese Virus-Total-Artikel etwa gänzlich als Clickbait ausgelegt?

        Antworten
  6. Avatar von DerEremit
    DerEremit

    Der eine Link mit der ältern Version auf Stefans Blog geht ins leere. Der zweite mit der aktuellen Version 1.0.60 verweißt auf ein Ergebnis bei Virustotal mit 4 von 59 Scanner erkennen ein Problem.
    Hat da wieder der Author von Ventoy was geändert und liegt das am Scannen?
    Auf Heise+ gibt es einen Artikel zum Thema Ventoy. Da ist von das Thema Malware und Virustotal
    kein Thema.

    Antworten
    1. Avatar von Gyges
      Gyges

      Es ist bei Virustotal prinzipbedingt völlig normal, dass erst viele (besonders der unbekannten) Scanner falsch-positiv anspringen, nur um dann ihre Meinung zu ändern.

      Antworten
  7. Avatar von walker
    walker

    Habe Ventoy damals unter Windows genutzt war Super, unter Linux nicht so lange der Programmierer nicht mit ner Grafischen Oberfläche wie unter Windows hin bekommt ist es Uninteressant.
    Nutze überwiegend den Balena Etcher als AppImage und bin damit sehr zufrieden, macht was es soll und erfüllt seinen Zweck.

    Antworten
    1. Avatar von Thomas S.
      Thomas S.

      Die grafische Oberfläche gibt es unter Linux längst. Super einfach zu bedienen. Kriegt jeder hin.

      Antworten
  8. Avatar von perko
    perko

    Habe mich mal kurz umgeschaut. Mal schauen, was mit den beiden offenen bugs von ventoy auf github passiert:
    https://github.com/ventoy/Ventoy/issues/1234
    https://github.com/ventoy/Ventoy/issues/770

    Erinnert mich ein bischen an die Anfänge des Internets. Da gab es auch überall Webseiten die nützliche Tools angeboten haben. Scheinbar funktioniert es auch unter linux Usern. Naja war eigentlilch nur eine Frage der Zeit bis es soweit ist. Das Betriebssystem hilft da nur wenig.

    Antworten
    1. Avatar von Christopher
      Christopher

      Ups

      Antworten
      1. Avatar von Christopher
        Christopher

        Ich konnte den Beitrag einfach nicht mehr löschen.
        Dafür zwei Dislikes …wow. Danke
        Wenn ich etwas über sehen habe, dann bin ich lern- und kritikfähig. So geht das!

        Ihr, die so schön die Funktion so benutzt, habt ihr eine Idee wofür die gedacht ist?
        Scheinbar nicht!

        Noch einmal mein Aufruf die Like Funktion abzuschalten. Es scheint doch einige zu geben die nicht verstanden habe wozu diese gedacht ist und wie sie sinnvoll genutzt werden soll.
        Ich bin fest davon überzeugt das nicht nur ich darüber verärgert bin und die Leute das Feen hält such zu beteiligen und ich brauche auch nicht mehr lange dafür …was dem ein oder anderem bestimmt gefallen wird.

        Antworten
  9. Avatar von Christopher
    Christopher

    Ist ja nicht so als ob es keine Alternativen unter Linux gäbe.
    Da war auch letzten hier ein Artikel zu einem Imager mit vielen Kommentaren zu Alternativen …natürlich auch zum Ventoy.
    Ich denke Mann muss ihn nicht nutzen.

    Antworten
    1. Avatar von Christopher
      Christopher

      Uuuuh, bin ich den Ventoy Jüngern auf den Fuß getreten …das tut mir aber leid …oder was ist so schlecht bzw. falsch an meiner Aussage?

      Antworten
  10. Avatar von Art
    Art

    Naja – eine „Bedrohung“ sehe ich nicht, wenn meiner Meinung nach eher dämliche Scanner der Schlangenölbranche Warnungen anzeigen…und wenn ich mir überlege, was Ventoy macht (MBR und Partitionstabelle eines Boot Devices ändern), wundere ich mich eher, dass es nicht mehr sind.

    Antworten
  11. Avatar von Uwe
    Uwe

    Unter Linux hatte ich mit dieser : Live-CD -Version
    keine Probleme.

    Ventoy LiveCD Instructions
    https://www.ventoy.net/en/doc_livecd.html

    Mich kotzt eher an das alles wieder nur in englisch/asiatisch und nicht deutsch ist!

    Ventoy:

    1)
    …habe die iso geladen und unter Mint mit „USB-Abbilderstellung“
    meinen Live-Stick erstellt
    2)
    …habe mit dem Live-Stick eine
    externe (USB) SSD in eine Ventoy-SSD umgewandelt.

    3)
    …läuft

    4)
    …Viren unter Linux?

    Antworten
    1. Avatar von perko
      perko

      Hirn einschalten nicht vergessen.

      Antworten
  12. Avatar von Dark
    Dark

    Zurzeit sind es bei VT, nur noch vier Meldungen:
    https://www.virustotal.com/gui/file/02271e58f8a543817ca9b4b01cc7fa8d3945a6984391089bcb378dc58993ffbf?nocache=1

    So mancher meint, was Virenscanner melden, ist dann auch Malware,
    das ist auch häufig nicht der Fall. Bei automatischen Analysen kann es vorkommen,
    das die Ergebnisse nicht stimmen.
    Meistens bekommt man nur ein klares Ergebnis, wenn man den Verdacht bei seinen
    AV Anbieter einsendet.
    Dort schaut sich ein Malware-Analyst, die Datei an, und was dort dann rauskommt
    stimmt dann.

    mfg

    Antworten
  13. Avatar von Egon Meier
    Egon Meier

    Mir ist die ganze Diskussion unverständlich.
    Ventoy ist offene Software – der Quellecode steht zum Download zur Verfügung.
    Wenn man den Vorwurf der Malware oder sogar Virenschleuder in den Raum stellt muss man zumindest mal Code-Review machen.
    Hat nicht stattgefunden. Oder?

    Was soll das ganze also?

    Antworten
    1. Avatar von juchtel
      juchtel

      Aber mit solchen Meldungen wird dann schnell eine Software in Misskredit gebracht. – Aber wenn’s glücklich macht…

      Antworten
      1. Avatar von perko
        perko

        Ganz klarer Fall von „Wir machen Shicesoftware, aber wenn uns das einer ins Gesicht sagt…“. Dann zeigen wir Dich an wegen Misskredit usw. zur Not schicken wir Polizei noch vorbei. Oder wir reagieren einfach gar nicht. So also ob wir das nicht gesehen haben… Einfach mal die Schnauze halten zum Vorfall und so tun als ob niemand was gehört hat, und die github Tickets, ganz schnell zu machen.
        Dewegen habe ich die Referenzen der Beiden Tickets hier verlinkt, dass die nicht dann irgendwann mal verschwiden.

        Aber man sieht es schon, im github. Keine Reaktion von der Softwarebudde.

        Antworten
  14. Avatar von wolfi
    wolfi

    vor ca. 2 Mon. hab ich einen RPI 4 angeschafft, damit bin ich zufällig über Ventoy gestolpert.

    Ich denke Sicherheitsmaßstäbe sind doch immer irgendwie relativ!

    Zunächst hatte ich viele Infos über UEFI für Raspberry gefunden (https://rpi4-uefi.dev/). Da spekulierte ich sofort darauf, endlich mein erstes, vernünftiges Live-ISO auf einem Arm64 System standardmäßig zu starten.
    Bei der weiteren Recherche stieß ich dann auf Ventoy. Ich war echt baff, der ISO-Installer funktioniert sogar unter Arm64 und über RPI 4 UEFI ließ sich der Ventoy-Stick mit dem „daily-build“ Arm64-ISO von Ubuntu sofort problemlos booten.

    Mein Eindruck ist, bei den Ventoy-Entwicklern handelt es sich um engagierte Hobbyisten, die um „jeden Preis“ Plattform übergreifend alles zu Laufen bringen wollen, was irgendwie als Systemabbild auf ein USB-Laufwerk geht. Wo Live-Systeme kommen und gehen und öfter ihren Bootvorgang abändern, ist ihnen dies soweit prima gelungen. Für mich ist es ist ein praktisches Tool – weil der RPI 4 ist für mich ein Spielzeug und wo ich mit Sachen wie Ventoy hantiere, da finden sich keine persönlichen Daten od. Bilder auf dem System.

    Für andere Anwendungszwecke mach ich z.B. das Ubuntu zum Installieren lieber direkt auf einen Stick. Für das RPI 4 UEFI habe ich ein ebenso gutes Sicherheitsgefühl, wie ich es beim Raspberry-OS habe – so lilalola.
    Ist Mainline-Ubuntu erst mal auf dem RPI installiert, gibt es eine „EFI-Partition“ mit einem Grub-Bootmenü. Über den Grub2-Bootloader kann man dann bestimmte ISO-Abbilder genauso booten wie über Ventoy. Funktioniert hat es bei mir mit Fedora 34, irgend so einem Centos Nachkömmling (Null-Netzwerk) und div. Ubuntu-ISO’s. Das Einrichten ist nur eine etwas kompliziertere Geschichte.
    Da dürfen dann schon mal belanglose persönliche Infos auf den System sein. Ich traue mich damit schon so Sachen, wie z.B Preisrätsel über eine Website abzuschicken.

    Für Homebanking nutze ich dagegen eine kleine jungfräuliche Intel-Box mit einer schreibgeschützten Live-ISO SD-Karte einer etablierten bekannten Distri darauf und einen ebenso extra zweckgebundenen DSL-Router über Ethernetkabel, mit dem ich sonst nichts anderes mache.
    E-Mail mache ich über einen RPI 3 und der bekannten Ubuntu-Mate Distri (Legacy-Kernel) auf der ich sonst auch nichts anderes mache.
    Für den Alltagsgebrauch dient mir ein Odroid N2 mit Armbian (Mainline).
    So habe ich ein rein individuelles Sicherheitsgefühl das relativ gut ist. Und nur darauf kommt es an – dass ich mich dabei gut fühle.
    Wirkliche Sicherheit, hab ich immer im Hinterkopf, gibt es ja sowieso nicht 😉

    Antworten
    1. Avatar von Uwe
      Uwe

      Ventoy scheint das „Schweizer Taschenmesser“ für den Live-Modus zu werden. Und es funktioniert problemlos. Danke dafür an die Entwickler.
      👍‍
      Eine funktionsfähige Software mit dem prinzipiell auch der Laie zurecht kommt. Das passt hier im Kommentarbereich wohl nicht jedem.
      Egomanen gibts halt überall, auch hier.

      Antworten
      1. Avatar von Egon Meier
        Egon Meier

        ich würde das nicht so pauschal sagen. Kritik muss geäußert werden dürfen und wenn bei der Win-VErsion die Virenscanner anschlagen ist Überprüfung angesagt.
        Der im Artikel verlinkte Bog-Eintrag ist allerdings so aussagarm und es ist keinerlei codereview gemacht worden..

        Allerdings sollte man das Programm deswegen nicht zum Heiligtum erklären und den Kritikern pauschal niedere Motive unterstellen.

        Antworten
        1. Avatar von A.R.H
          A.R.H

          Grüß Gott,
          also bei mir hat sowohl unter Windows 10 als auch 11 der Windows Defender nicht „angeschlagen“bzgl.Ventoy.

          Antworten
        2. Avatar von termy
          termy

          Genau das hätte ich eigentlich auch erwartet, bevor man eine große Welle schiebt – Code anschauen, selbst kompilieren und überprüfen ob die resultierende exe identisch ist bzw diese auch bei den Virenscannern checken – dann sieht man schon wo die Reise hingeht…

          Antworten
  15. Avatar von Mike Nixda
    Mike Nixda

    Ich kannte Ventoy bis zu diesem Artikel gar nicht. Allerdings gefiel mir das Konzept, auf einem USB-Stick mehrere ISO’s parallel zu installieren.

    Eine Bestätigung der Vorwürfe konnte ich nirgends finden. Es gibt es mehrere Artikel bei heise.de, in denen Ventoy empfohlen wird. Bei ubuntuusers.de wird die Software beschrieben und dort wird darauf hingewiesen, dass es bei älteren 32bit Windows Versionen zu vermutlich falsch-positiven Warnungen kommen kann (mit Verweis auf axbase).

    Lange Rede kurzer Sinn, ich habe Ventoy bei ausprobiert und bei mir läuft es tadellos.

    Antworten
    1. Avatar von Egon Meier
      Egon Meier

      „Lange Rede kurzer Sinn, ich habe Ventoy bei ausprobiert und bei mir läuft es tadellos.“
      DAS will auch niemand bstreiten …

      Antworten
  16. Avatar von trashcoder
    trashcoder

    Da der Ventoy Source Code in Github ist, kann man sich bei den Issues den Verlauf der Virus-Alerts durchlesen. Bisher sind wohl alle Virenscanner-Ergebnisse false-positive gewesen.

    Des Weiteren kann man sich ja, falls man dem offiziellen Release nicht traut, aus dem Quellcode auf Github ein eigenen Build erstellen.

    Antworten
    1. Avatar von MaximilianMustermann
      MaximilianMustermann

      Für mich stellt sich ernsthaft die Frage ob Ferdinands Kollege, der Stefan nicht eine Fehde gegen den Autor von Ventoy hat. Der scheint an Ventoy was gefressen zu haben. Warum soll der Entwickler Code umschreiben wenn Schlangenölsoftware False-Positive meldet. Das ist ein Prangerblog.

      Antworten
      1. Avatar von Ferdinand
        Ferdinand

        Ich kenne Stefan als sehr kundigen Kollegen, sonst hätte ich den Beitrag nicht übernommen.

        Antworten
        1. Avatar von trashcoder
          trashcoder

          Ich habe mir den Blogeintrag auf axebase gerade durchgelesen, und finde, dass er den Entwickler zu unrecht verurteilt. Man darf zwei Sachen nicht vergessen:

          1. Als Softwareentwickler kannst du nichts dafür, wenn nach einem Kompilat von den Virenscannern als false-positive erkannt wird. Das passiert auch mit meinen eigenen Builds. Auch Malware-Entwickler verwenden dieselben Entwickler-Tools, wie „normale“ „Entwickler, da kann es schon mal passieren, dass aufgrund eines Features von Compiler XY der Build erstmal als Virus erkannt wird.
          2. Ventoy verwendet Features, die beim Boot tief im System Änderungen durchführen. Sie ist immerhin eine Software, die beim Booten eine CD-Laufwerk Emulation durchführt und den Lese-Zugriff auf eine ISO-Datei umlenkt.

          Ich habe den aktuellen Build 1.0.61 mal mit Virutal Total scannen lassen und es sieht so aus, als ob sie gerade dabei sind, die False Positives zu reduzieren. Es sind nur noch 3 „Funde“.

          Antworten
        2. Avatar von MaximilianMustermann
          MaximilianMustermann

          Also es gibt drei Blogeinträge wo Stefan Vantoy in einen Online Virenscanner geschmissen hat und Warnungen erhalten hat.

          Wo ist denn der „Schadcode“?

          Antworten
        3. Avatar von termy
          termy

          Ich muss auch sagen, dass ich von einem kundigen Kollegen etwas mehr Recherche, Code Review oder selbst kompilieren erwartet hätte, erst recht wenn man schon den dritten recht Inhaltsleeren Warn-Post einstellt. Zusammen mit der suggestiv herablassenden Sprache in den Posts drängt sich auch mir eher der Eindruck einer persönlichen Aversion von Stefan auf muss ich zugeben.

          Antworten
  17. Avatar von Joe
    Joe

    Ich habe beruflich schon mit diversen Entwicklern (Soft- und Hardware) aus China zu tun gehabt und das wundert mich jetzt absolut nicht. Solange es funktioniert ist alles egal – reproduzierbare Fehler, Abweichungen von Standards und Sicherheitslücken. Es wird alles heruntergespielt und relativiert.

    • Fehlerhafte/duplizierte MAC-Adressen: „Wie hoch ist denn die Wahrscheinlichkeit, dass 2 Geräte im gleichen Netzwerk sind?“ – /facepalm
    • Instabiler ADB: „Verwende doch ADB über WLAN!“ – Wie denn wenn ich zum aktivieren ADB über USB brauche?
    • Unvollständige und fehlerhafte Dokumentation, Funktionen verhalten sich anders als beschrieben: gar keine Reaktion
    • Fehlerhafter DHCP-Client: „Es muss an deinem DHCP-Server liegen!“ – Der Client hat die Antworten einfach nie akzeptiert und immer wieder nach Adressen gefragt. Es kam dann ein Patch für den Client.
    • Gefährliche Hardware, keine Sicherung an Ladebuchse, Gerät eines Kunden ist geschmolzen: „Bei internen Tests ist nichts passiert, also machen wir da auch keine Sicherung rein!“
    • etc.

    Ich persönlich werde zukünftig weder in China entwickelte Hard- noch Software verwenden (Made in Chine ist OK).

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge