web-dev-qa-db-fra.com

Virus de raccourci dans Ubuntu 12.04

J'aime Ubuntu. Je suis choqué de trouver ce virus qui crée un dossier Recycler et de nombreux fichiers ".lnk" dès que j'insère un lecteur USB. Réinsérer la clé USB sur mon ordinateur Windows exécutant BitDefender Internet Security 2015 en détectant clairement ces fichiers comme des logiciels malveillants. Il cache toutes les données qui étaient dans la clé USB.

Honnêtement, je n'y ai pas cru pendant 15 jours. Nous utilisons des ordinateurs Ubuntu pour accéder à Internet dans notre entreprise. Tous les ordinateurs Ubuntu de mon immeuble souffrent de ce problème. J'ai formaté mon PC et fait une nouvelle installation d'Ubuntu 12.04. Le virus réapparaît après quelques jours seulement.

Aujourd'hui, j'ai installé BitDefender sur mon ordinateur Ubuntu et procédé à une analyse complète du système. Les fichiers infectés ont été détectés et supprimés. J'ai ré-analysé pour m'assurer qu'il n'y avait pas de fichiers infectés. Cependant, les fichiers .lnk sont créés une fois que j'ai réinséré le lecteur flash.

J'ai apt-get mis à jour plusieurs fois. Mon sources.list contient les dépôts principaux et les mises à jour Ubuntu incluant les mises à jour de sécurité. Aidez-moi, s'il vous plaît, à éradiquer ce virus de mon ordinateur Ubuntu ainsi que des autres ordinateurs du réseau.

J'utilise Ubuntu 12.04 Desktop sur une machine 32 bits, 2 Go de RAM, processeur Intel Core 2 Duo.

J'ai écrit un post sur la façon d'installer BD sous Linux pour expliquer le problème. Vous pouvez lire ici .

Le fichier sources.list contient les dépôts suivants:

###### Ubuntu Main Repos
deb http://in.archive.ubuntu.com/ubuntu/ precise main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise main restricted universe

###### Ubuntu Update Repos
deb http://in.archive.ubuntu.com/ubuntu/ precise-security main restricted universe
deb http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-security main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted universe

Ce sont les fichiers qui sont créés au fur et à mesure que la clé USB est insérée: dossier Recycler, AUTOEXEC.BAT.lnk, boot.ini.lnk, bootfont.bin.lnk, CONFIG.SYS.lnk, IO.SYS.lnk, MSDOS. .SYS.lnk, pagefile.sys.lnk

Le fichier journal /opt/BitDefender-scanner/var/log/bdscan.log contient les éléments suivants:

//
// BitDefender scan report
//
// Time: Mon Jan 12 11:18:56 2015
// Command line: / --action=delete --suspect-copy --follow-link --log --no-list --no-warnings
// Core: AVCORE v2.1 Linux/i386 11.0.1.12 (Aug 7, 2014)
// Engines: scan: 17, unpack: 13, archive: 51, mail: 8
// Total signatures: 6337727
//

/media/580F-A489__/RECYCLER/temp/qedit.dld      infected: Trojan.Generic.12478731
/media/580F-A489__/RECYCLER/temp/qedit.dld      deleted
/media/580F-A489__/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211 infected: Trojan.GenericKD.2051722
/media/580F-A489__/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211 deleted
/media/580F-A489__/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211       infected: Trojan.GenericKD.2051722
/media/580F-A489__/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211       deleted
/media/580F-A489_/RECYCLER/temp/qedit.dld       infected: Trojan.Generic.12478731
/media/580F-A489_/RECYCLER/temp/qedit.dld       deleted
/media/580F-A489_/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211  infected: Trojan.GenericKD.2051722
/media/580F-A489_/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211  deleted
/media/580F-A489_/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211        infected: Trojan.GenericKD.2051722
/media/580F-A489_/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211        deleted
/media/DEEPAK/RECYCLER/temp/qedit.dld   infected: Trojan.Generic.12478731
/media/DEEPAK/RECYCLER/temp/qedit.dld   deleted
/media/DEEPAK/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211    infected: Trojan.GenericKD.2051722
/media/DEEPAK/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211    deleted
/media/DEEPAK/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211      infected: Trojan.GenericKD.2051722
/media/DEEPAK/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211      deleted
/bin/.flash/.u/44.58u.tar=>(gzip)=>0000000000.nls       password protected
/bin/.flash/.u/44.58u.tar=>(gzip)=>jg.nls       password protected
/bin/.flash/bin/comlnkdll       infected: Trojan.Generic.12478731
/bin/.flash/bin/comlnkdll       deleted
/bin/.flash/bin/comhorse.dat    infected: Trojan.GenericKD.2051722
/bin/.flash/bin/comhorse.dat    deleted


Results:
Folders            : 0
Files              : 619188
Packed             : 4029
Archives           : 15070
Infected files     : 11
Suspect files      : 0
Deleted files      : 11
Copied files       : 0
I/O errors         : 950
Files/second       : 407
Scan time          : 00:25:19

Je ne parviens pas à trouver les détails exacts du cheval de Troie dans Encyclopédie des virus BD . Cependant, cet article indique que Trojan.GenericKD est un programme potentiellement indésirable pouvant provenir d’installateurs personnalisés trouvés sur des sites tels que CNET, Softonic, Brothersoft, etc. Ces sites sont bloqués par la passerelle Web du compagnie.

12.04malware
2
Deepak Devanand

Accédez au gestionnaire de disque et formatez la clé USB.

Tout d'abord, comprenez qu'il n'y a PAS de virus de raccourci pour Ubuntu. C'est votre clé USB qui se joue ou vous utilisez Wine.

Je vous suggère de réinstaller Wine, si vous avez installé Wine.

Supprimez complètement Wine en tapant: Sudo apt-get remove wine

Installez à nouveau le vin en tapant: Sudo apt-get install wine

Cela devrait résoudre le problème.

2
Sachin Kamath

Autant que je sache, Ubuntu ou toute autre distribution Linux n'est pas affectée par le virus de raccourci. Un processus Windows doit être exécuté sur votre système. Même si nous supposons que votre système est affecté par un virus de raccourci ciblé Linux, quel est le but de celui-ci de créer des fichiers .lnk car ces fichiers fonctionneront sur un système Windows.

Trouvez-vous des fichiers .exe ou des fichiers .bat copiés sur votre clé USB?

Comme l'explique la documentation Ubuntu, BitDefender identifie les virus Windows sur votre système.

BitDefender est un programme permettant de rechercher les virus et les logiciels malveillants Windows. Il peut être exécuté en arrière-plan ou à la demande si nécessaire. Une fois installé, vous le trouverez sous Applications - Outils Système. Il peut être utilisé comme alternative à clamav/clamtk. Documentation Ubunt

Donc, s'il y a des virus, cela signifie qu'il y a des virus Windows sur votre système. Ceux-ci ne fonctionneront pas sur Ubuntu.

2
isuru-buddhika

Désolé de poster ceci en tant que réponse, mais je vais modifier et mettre à jour cette réponse au fur et à mesure, afin de réduire le nombre de commentaires et de ne pas encombrer les commentaires. J'ai clamav installé et c'est juste pour pouvoir détecter les virus Windows sur les disques durs NTFS que je connecte avec mon clé USB. (pas de démon installé)

De plus, clamav est disponible dans les référentiels logiciels Ubuntu standard et recommandé par Canonical: https://help.ubuntu.com/community/ClamAV . Pourquoi avez-vous même installé bitdefender?

Vous dites que les fichiers .lnk n'arrêtent pas de se multiplier et que cela concerne tout le réseau de votre entreprise. Avez-vous installé samba sur ces ordinateurs avec les comptes invités activés?

Vous dites que vous avez réinstallé en utilisant 12.04. Pourquoi une version en fin de vie?

Si vous pouvez répondre aux questions ci-dessus, je suis certain de pouvoir vous aider beaucoup mieux en utilisant des logiciels libres.

1
Fabby