Πιθανή απειλή ιού;

[Christos Chris]

Έκανα μια σάρωση με το clamtk και μου βρήκε αυτό:PUA.Win.Exploit.CVE 2012 0110 στην τοποθεσία /usr/share/mime/mime.cache κάποια εξήγηση τι είναι αυτή η απειλή;

[Learner]

Επειδή υπάρχει πάντα το ενδεχόμενο του λεγόμενου false alarm, δηλαδή να έχει "χτυπήσει" κάποιο αρχείο το οποίο στην πραγματικότητα δεν αποτελεί απειλή, στην θέση σου θα έστελνα το αρχείο σε έναν online Virus Scanner για να δω τι παίζει.
Παράδειγμα:
https://www.virustotal.com/en/about/

Εδώ βρήκα ότι και κάποιοι άλλοι έχουν στείλει το ίδιο αρχείο για ανάλυση. Η αποστολή έγινε σήμερα (μήπως είσαι εσύ; )
http://r.virscan.org/report/9e143da25be ... ab1e2058de
Από τα αποτελέσματα βλέπω ότι μόνο το clamav "χτυπάει" στο συγκεκριμένο αρχείο. Πιθανολογώ για false alarm( ή False Positive όπως το λένε αλλιώς).
Πάντως το αρχείο mime.cache, λόγω του ονόματος και μόνο (cache) έχω την εντύπωση ότι μπορεί να διαγραφεί, χωρίς φόβο. Για αρχή μετακίνησε το αν θέλεις, π.χ

Κώδικας: Επιλογή όλων


sudo mv /usr/share/mime/mime.cache ~/


[Christos Chris]

Όχι δεν ήμουν εγώ αλλά έχω διαγράψει το αρχείο με το clamtk και δεν μπορώ να το στείλω...ας υποθέσουμε πως είναι false alarm και είναι όλα εντάξει αν δεν είναι όμως;Από που προήλθε αν ξέρεις φυσικά!

[Learner]

Όχι δεν ήμουν εγώ αλλά έχω διαγράψει και το αρχείο και δεν μπορώ να το στείλω...ας υποθέσουμε πως είναι false alarm και είναι όλα εντάξει αν δεν είναι όμως;Από που προήλθε αν ξέρεις φυσικά!

Αν ανέβαζες κάπου τα περιεχόμενα του αρχείου να τα βλέπαμε, ίσως να το εντοπίζαμε. Υποθέτω κάτι σχετικό με πρόγραμμα Windows ή εξομοίωσης; Τα false positive μπορεί να είναι οτιδήποτε, η ουσία είναι ότι αν μιλάμε για false positive τότε είναι False και δεν μας επηρεάζει.

[Christos Chris]

Δυστυχώς όπως σου είπα έχω διαγράψει το αρχείο μόλις έκανα σάρωση και το εντόπισα και δεν έχω τα περιεχόμενα του...άρα λέω εγώ τώρα που είμαι άσχετος από Linux αυτή η απειλή μπορεί να προέλθει από ένα κατέβασμα προγράμματος που δεν περιέχεται στο κέντρο λογισμικού η από στικάκι που χρησιμοποιείται και στα windows και στο ubuntu;

[Learner]

Πολλές μπορεί να είναι οι τοποθεσίες προέλευσης, με κυριότερες ίσως αυτές που ανέφερες. Πρόσεξε και κάτι άλλο όμως. Ακόμη και να μη είναι(ήταν) False Positive δεν σημαίνει ότι το κακόβουλο λογισμικό που εντοπίστηκε σε επηρεάζει άμεσα. Το clamav διαθέτει μια βάση δεδομένων ιών που συμπεριλαβμάνει και απειλές απευθυνόμενες σε λειτουργικά συστήματα Windows. Οι απειλές αυτές στις περισσότερες των περιπτώσεων δεν είναι cross-platfrom, δηλαδή δεν μπορούν να επηρεάσουν όλα τα λειτουργικά συστήματα παρά μόνο Windows και όχι εκείνα που είναι π.χ. βασισμένα σε Unix/Linux.

[Christos Chris]

Τελικά απ'ότι ξαναείδα το αρχείο mime cashe εμφανίστηκε πάλι σαν απειλή και δεν διαγράφετε και μπορεί τελικά να μην το είχα διαγράψει ποτέ απλά να νόμιζα πως το έκανα μάλλον δεν θα το πρόσεξα και δείτε και εδώ που εμφανίζετε και σε άλλον http://ubuntuforums.org/showthread.php?t=2274088 αν διαβάσετε τι λέει ο τελευταίος στο σχόλιο του και ισχύει αυτό που λέει τότε είναι False Positive αλλά κρύβει κινδύνους για τα windows;

[fog]

Για να διαγράψεις ένα αρχείο ή φάκελλο έξω από το home σου πρέπει να το κάνεις με sudo και πολύ προσεχτικά.
Όσο για τον κίνδυνο που μπορεί να αποτελεί σε windows, είναι πιθανό, αλλά όχι όσο βρίσκεται μέσα στο partition του linux σου.
Θα είχες ίσως πρόβλημα εαν βρίσκονταν σε κάποιο φάκελλο στα windows.

Με κάθε επιφύλαξη μοιάζει με πιθανό exploit σε java.

[Learner]

αν διαβάσετε τι λέει ο τελευταίος στο σχόλιο του και ισχύει αυτό που λέει τότε είναι False Positive αλλά κρύβει κινδύνους για τα windows;

Πιθανών ναι. Λέω πιθανών και όχι σίγουρα, λόγω του ότι μόνον το ClamAV έχει εντοπίσει το συγκεκριμένο αρχείο ως vulnerability. Όταν 39 Antivirus σου λένε ότι είναι καθαρό και μόνον ένα ότι είναι μολυσμένο, κράτα επιφυλάξεις.

[Christos Chris]

Ok αλλά τι θα κάνατε στην θέση μου θα το αφήνατε όπως έχει και δεν θα σας απασχολούσε;
Φίλε Learner θέλεις να ανεβάσω κάπου τα περιεχόμενα του αρχείου και αν ναι το έχω ανοίξει μόνο με LibreOffice Writer για να δω τι περιέχει.