Автор Тема: Вирусы в ALT Linux (Прочитано 6192 раз)

Саша_ · « : 28.07.2013 17:27:16 »

ALT Linux 6.0.2 KDE.
ClamAV+ClamTk нашел в кэше Firefoxа вирус PUA.Phishing.Bank.
Однако, ClamAV не лечит вирусы.
Помогло средство Firefoxa - пункт меню "Инструменты" - "Стереть недавнюю историю". Т.е. очистка кэша Firefoxa.
Интересная деталь: если запустить ClamAV в консоли командой clamscan, то он вируса не находит.

ruslandh · « **Ответ #1 :** 28.07.2013 17:42:52 »

Ну, нахождении его в кэше ничем вам не грозит.

Саша_ · « **Ответ #2 :** 28.07.2013 18:52:12 »

Цитата: ruslandh от 28.07.2013 17:42:52

Ну, нахождении его в кэше ничем вам не грозит.

Пока вирус был активен, ваш сайт заявил мне, что с моего компьютера идет подозрительный трафик. И еще не мог в Fifefoxe зайти на один из сайтов под своим паролем.
Кстати, PUA может обосноваться и в виндовых программах и dll-ках, если стоит Wine.
Смотри: http://linuxforum.kz/topic5505.html

konovalenko_dima · « **Ответ #3 :** 28.07.2013 18:59:32 »

Саша, я сейчас конечно дам спорный совет, но установи коммерческий антивирус типа avg. Клам пока несколько не дотягивает по качеству обнаружения до ведущих вендоров. И проверь кеш. Если обнаружится нечто подозрительное, значит будет создан прецедент. Скорее всего это не вирус, а ПО для создания ботнета. Вирусов под Линукс не так много. Но с ростом популярности появятся и они. А пока основная беда - дыры безопасности в разных программах. Кстати, в твоей ссылке про вирусы ни слова. Там говорится про потенциальную угрозу заражения вайновских файлов.

чайник · « **Ответ #4 :** 28.07.2013 20:08:47 »

Цитата: konovalenko_dima от 28.07.2013 18:59:32

Там говорится про потенциальную угрозу заражения вайновских файлов.

Ну так этим никто америку не открыл. Запусти инет и одну или несколько прог в винце, и будет вам счастье.

Ironforge · « **Ответ #5 :** 20.11.2014 23:16:15 »

Только не смейтесь.
Вот что нашел Clamav. Просто не пойму что с этим делать и почему на рабочем столе? Кто сталкивался,подскажете? Странно что в папке adblock. Интересно,опасно или нет.
Говорят вроде нет. http://linuxforum.kz/index.php?topic=5505.0

asy · « **Ответ #6 :** 21.11.2014 00:35:19 »

Цитата: Саша_ от 28.07.2013 17:27:16

ALT Linux 6.0.2 KDE.
ClamAV+ClamTk нашел в кэше Firefoxа вирус PUA.Phishing.Bank.

Это, в общем-то, может и не вирус: PUA - Potentially Unwanted Applications.
http://www.clamav.net/doc/pua.html

Ironforge · « **Ответ #7 :** 21.11.2014 00:47:45 »

Знаю,читал. Вроде не в кеше а в adblockplus.
Вот еще нашел угрозу

Код: [Выделить]

/usr/lib/ruby/rdoc/generator/template/darkfish/js/thickbox-compressed.js PUA.Script.Packed-1 Зато выяснил что есть папка Old Firefox на рабочем столе откуда то,удалил,проверил,больше нет угроз.
Я просто сам удивился,потому и спросил.

stranger573 · « **Ответ #8 :** 21.11.2014 02:33:47 »

Цитата: asy от 21.11.2014 00:35:19

Это, в общем-то, может и не вирус: PUA - Potentially Unwanted Applications.

А чем это лучше то? Какой для вас лично ущерб хуже — когда вирус модифицирует какой нибудь исполняемый файл blabla.bin (которым, вполне вероятно ни вы ни система за всё время вашей компьютерной жизнедеятельности ни разу не воспользуетесь), или когда PUA-невирус сопрёт у вас банковские логин с паролем (с последующим исчезновением денег с банковского счёта)?

Всякого рода бациллы пишут совсем не для того чтобы инфицировать нафиг не нужные вирусописателям системные файлы. Они основной профит получают от перехвата логинов/паролей и от ботнетов.
Например, вряд ли что нибудь помешает работающему js-скрипту на одной из многочисленных открытых одновременно вкладок (модная ситуация, не так ли?) перехватить вводимые в модном нынче веб-интерфейсе на другой вкладке логин и пароль. Кстати, сильно облегчает сию не полезную для пользователя задачу — "удобная функциональность", наподобие запоминания браузером форм и паролей для сайтов. В случае js, java, flash зловредов (и ихь ведь есть!), совсем не имеет значения какая OS используется.

Ironforge · « **Ответ #9 :** 21.11.2014 03:34:48 »

Вот в чем и вопрос,то ли вирус то ли нет. Хотя попробовал сохранить и загрузить на www.virustotal.com вроде ничего не обнаружил. Но заставляет задуматься.

stranger573 · « **Ответ #10 :** 21.11.2014 04:26:36 »

Цитата: Ironforge от 21.11.2014 03:34:48

Вот в чем и вопрос,то ли вирус то ли нет.

По PUA.Phishing.Bank уже давно задают вопросы. Ответы на которые можно подвести под один итог — "поскольку вирусы в основном пишут под Windows, то вреда от этого не будет...". Т.е. никто анализ самого файла не делал, но тем не менее выдают обнадёживающие ответы.
В случае файла в ruby — можно посмотреть в каком пакете он идёт, и идёт ли, ну и, сравнить существующий файл с файлом из пакета. В случае если такой файл идёт в официальном пакете и не изменён, то этот файл вполне легитимен. Дополнительно можно на офсайте попробовать найти описание, что это такое есть, и для чего.
А так, вообще, полную уверенность может дать только разбор и анализ самого файла. Скрипты вполне читаются в текстовом редакторе. Да и бинарники в общем то можно дизассемблировать (но тут уж придётся серьёзно изучать ассемблер

).

asy · « **Ответ #11 :** 21.11.2014 08:37:35 »

Цитата: stranger573 от 21.11.2014 02:33:47

Цитата: asy от 21.11.2014 00:35:19
Это, в общем-то, может и не вирус: PUA - Potentially Unwanted Applications.
А чем это лучше то?

Тем, что это, вообще, не вирус. Это просто код на сайте, который может быть и wanted application с тем же успехом. Пока не посмотришь глазами в текст, знать не будешь.

Ironforge · « **Ответ #12 :** 21.11.2014 13:17:34 »

Цитата: stranger573 от 21.11.2014 04:26:36

В случае файла в ruby — можно посмотреть в каком пакете он идёт, и идёт ли, ну и, сравнить существующий файл с файлом из пакета. В случае если такой файл идёт в официальном пакете и не изменён, то этот файл вполне легитимен. Дополнительно можно на офсайте попробовать найти описание, что это такое есть, и для чего.
А так, вообще, полную уверенность может дать только разбор и анализ самого файла. Скрипты вполне читаются в текстовом редакторе. Да и бинарники в общем то можно дизассемблировать (но тут уж придётся серьёзно изучать ассемблер ).

Как я понимаю ruby был установлен вместе с системой или при обновлениях,то есть из репозиториев,так что теоретически опасений быть не должно. Хотя он похоже в clamav вызывает опасения и у других. http://askubuntu.com/questions/266660/should-i-be-worried-about-a-possible-threat
Просто удивлен тем что вроде clamav настроен на вирусы для Windows а тут аж не в домашней папке а в корневой угрозу нашел. Скорей всего просто ложное срабатывание.

stranger573 · « **Ответ #13 :** 22.11.2014 00:59:27 »

Цитата: Ironforge от 21.11.2014 13:17:34

Просто удивлен тем что вроде clamav настроен на вирусы для Windows

Не только на вирусы и не только для Windows. Поэтому и находит.

Цитата: Ironforge от 21.11.2014 13:17:34

а тут аж не в домашней папке а в корневой угрозу нашел. Скорей всего просто ложное срабатывание.

Скорее всего не ложное срабатывание, а действительно потенциально опасный код. При соответствующем применении. В ruby, насколько я понял это js-скрипт для создания модального окна, в котором можно редактировать контент (это потенциально опасно). Ну, а в adblock clamav может просто нервно реагировать на адрес сайта для блокировки (если этот сайт числится в фишинговых).
Но повторю ещё раз это всё предположения, а по хорошему — нужно препарировать сами файлы на которые clamav показывает.

Ironforge · « **Ответ #14 :** 22.11.2014 18:29:04 »

Спасибо за помощь.
Файл в ruby удалил на всякий случай.
А вот с AdBlockPlus не всё так однозначно.
Все настройки Firefox хранятся в /home/mozilla,но выяснил,что была еще папка на рабочем столе Old Firefox Data,вот в ней то Clamav и нашел 12 угроз в AdBlockPlus. Тоже вроде подумал про адреса сайтов. Но удалив папку Old Firefox Data,в /home/mozilla Clamav никаких угроз в AdBlockPlus не находит.Получается что то не то,что и заставило задуматься.

Форум сообщества
Альт Линукс