<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">On Wed, Jan 22, 2020 at 12:34 AM Bill Cole <<a href="mailto:macportsusers-20171215@billmail.scconsult.com" target="_blank">macportsusers-20171215@billmail.scconsult.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">On 21 Jan 2020, at 18:11, Artemio González López via macports-users <br>
wrote:<br>
<br>
> Bitdefender has flagged two files from the db48 MacPorts port <br>
> installed in my Mac, namely<br>
><br>
> /opt/local/lib/db48/libdb_cxx-4.8.dylib<br>
> /opt/local/var/macports/software/db48/db48-4.8.30_4.darwin_17.x86_64.tbz2<br>
><br>
> which seem to be infected by something called<br>
><br>
> Gen:Variant.Application.MAC.Koiot.575<br>
<br>
The is not an indication of a specific 'infection' but rather a generic <br>
heuristic match with characteristics seen in known malware. This is NOT <br>
a match with any specific known malware.<br>
<br>
> Does this sound plausible,<br>
<br>
I believe Bitdefender flagged it. I don't believe it is worth concern. I <br>
have no reason to believe that a Bitdefender generic match it worth <br>
anything. Do you?<br>
<br>
> or is it more likely a false positive?<br>
<br>
It's nothing. It's not a 'positive' of any sort, it's an almost random <br>
assertion that a file has some vague characteristics in common with <br>
unspecified malware.<br>
<br>
Generic matches by "antivirus" programs that do not document those <br>
patterns are worse than worthless. Your use of Bitdefender has wasted <br>
your valuable time.<br>
<br>
> In any case, I am thinking of reinstalling the port. Is this possible, <br>
> and how should I proceed? (uninstall first, perhaps, but what about <br>
> dependents?).<br>
<br>
You can't make Bitdefender worthwhile software by reinstalling Berkeley <br>
DB 4.8.<br>
<br>
I have machines with these local source builds of the db48 port, <br>
v4.8.30_4:<br>
<br>
Darwin10/i386<br>
Darwin15/x86_64<br>
Darwin17/x86_64<br>
Darwin18/x86_64<br>
<br>
All of these now show the same 5 junk hits at VirusTotal on their <br>
libdb_cxx-4.8.dylib. The first 2 did not show any hits in years-old <br>
tests, but they hit when rescanned in the last few hours. I also have <br>
downloaded the pristine source from Oracle, patched it to fix naming <br>
conflicts, and built it without using anything from MacPorts. That <br>
libdb_cxx-4.8.dylib hits at VT identically to the 4 other builds I have.<br>
<br>
It is certainly possible that the source code of BerkeleyDB v4.8.30 has <br>
been compromised at its definitive repository by some <br>
as-yet-unidentified MacOS X malware which has unspecified similarities <br>
to some unspecified  known malware which is only known to 5 3rd-rate AV <br>
tools, 4 of which give it the same name which is unreferenced anywhere.<br>
<br>
It is more likely that those junk AV packages have detected the use of <br>
BerkeleyDB v4.8.30 (one of the most ubiquitous open source libraries in <br>
existence) by some malware and have deemed some of its characteristics <br>
as being indicative of malware, incorrectly.<br>
<br>
If you are a paying customer of Bitdefender, I urge you to ask them what <br>
this detection actually means and ask that they justify the waste of <br>
your time over this apparently pointless "detection." They owe you an <br>
explanation.<br></blockquote><div><br></div> Thanks Bill and Ryan for your perspectives and additional testing.  I am inclined to agree with your skepticism.<br><br>The comedy of errors is expanding.  This morning, the number of hits via <a href="http://virustotal.com" target="_blank">virustotal.com</a> had increased from the original 5 to 9.  I suppose that scanners are industriously sharing their patterns.<br><br>For fun I dragged out the analogous library file from one of our linux systems, /usr/lib64/<a href="http://libdb_cxx-4.7.so" target="_blank">libdb_cxx-4.7.so</a>.  It is more than three years old, not even the same code version.  Yet this morning, one of those VT reported scanners had flagging this linux file.  The "engine" was Trapdoor, which has not been responding for the past few hours.<br><a href="https://www.virustotal.com/gui/file/e2746e958da892cd2485d9264bb0470b04159b63f5580a487d9b06c83fbf7780" target="_blank">https://www.virustotal.com/gui/file/e2746e958da892cd2485d9264bb0470b04159b63f5580a487d9b06c83fbf7780</a><br><br>( I added a single trailing line feed to preserve the state of the previous original VT scan report; more than a year ago, and no hits.)</div></div></div></div></div></div>