web-dev-qa-db-fra.com

ClamAV PUA.Win32.Packer.PrivateExeProte-7

J'ai exécuté ClamAV sur mon système et il a signalé deux détections.

Il a signalé PUA.Win32.Packer.PrivateExeProte-7 dans:

/usr/lib/mono/4.0/mscorlib.dll
/urs/lib/mono/4.5/mscorlib.dll

Il indique Mesure prise: aucune et j'ai en principe la possibilité de mettre ces fichiers en quarantaine. Est-ce un virus, un cheval de Troie ou un autre malware? Je vois que Mono est installé sur mon installation d’Ubuntu 14.04 (je suppose qu’il a été installé par défaut lors de l’installation du système car je ne me souviens pas de l’avoir installé moi-même). S'il s'agit vraiment de logiciels malveillants et que je mets en quarantaine et supprime ces fichiers, est-ce que je casse quelque chose?

J'ai également Windows 7 installé sur mon Ubuntu 14.04 et j'utilise ClamAV pour protéger ce système des risques d’infection et parce que je ne voudrais pas propager un éventuel malware à quelqu'un qui utilise un Système d'exploitation Windows . Je n'ai pas de vin installé.

J'ai essayé de regarder en ligne sur différents forums mais je trouve des rapports et des opinions contradictoires sur ce que c'est, c'est pourquoi je pose cette question ici.

3
SineLaboreNihil

Le terme PUA signifie "application potentiellement indésirable"; il s'agit donc d'une alerte de priorité relativement basse.

Le reste de la définition suggère qu'il a trouvé un format binaire Windows compressé de manière à rendre l'introspection difficile pour les applications antivirus. Cela en fait une ressource inestimable pour les auteurs de programmes malveillants, car ils peuvent modifier en permanence la signature de leur logiciel afin d'éviter la détection.

Dans ce cas, je pense que c'est juste symptomatique de la façon dont Mono est construit et ClamAV étant trop suspect . J'ai couru une copie de my mscorelib.dlls par le biais de VirusTotal et tout est rentré. Je vous conseille de faire de même.


S'il s'agit vraiment de logiciels malveillants et que je mets en quarantaine et supprime ces fichiers, est-ce que je casse quelque chose?

Cela briserait Mono, mais s'il était infecté, ce ne serait pas terrible. Vous souhaitez simplement réinstaller les packages Mono.

5
Oli

PUA.Win32.Packer et toutes ses variantes (et il existe des grappes) sont tous suspects à mon avis. Je viens de terminer une analyse complète de mon lecteur Windows 8.1 sous Linux Mint 17.1 Cinnamon OS à l’aide de ClamTK (interface graphique ClamAV) et en ai trouvé près de 1 000 dans un type de fichier presque. Je comprends que la plupart des gens pensent que cette PUA est en réalité un faux positif, ce que je peux comprendre. Mais, lorsque vous trouvez ce "faux positif" dans à peu près tous les types de fichiers que vous pouvez imaginer, vous devez vraiment être plus suspicieux que ce que je dirais. Je peux comprendre que cela se trouve éventuellement dans des fichiers tels que .dll, .exe et quelques autres, mais pourquoi est-ce dans un fichier .pdf ou .mp4, et de nombreux autres types de fichiers de fichiers créés personnellement?

La raison pour laquelle j'ai analysé ce lecteur est que certaines parties de Windows ont été auto-corrompues et que, même si je les répare à l'aide de l'actualisation de Windows, elles s'auto-corrompent un peu plus tard. Je suis un informaticien de plus de 25 ans et j'ai rencontré à peu près tout ce que vous pouvez imaginer au fil des ans. Au début de l'année dernière, mon système domestique a été infecté bien que quelqu'un ici télécharge des courriels frauduleux et "croit" que certaines fenêtres contextuelles sont légitimes et lui permettent de fonctionner sur des ordinateurs en réseau. Ce fut le début de ce qui devint une bataille en cours, qui n’est toujours pas résolue.

Il en est résulté. Il y a tellement d'ordinateurs/serveurs infectés et de logiciels ouverts aux violations de la sécurité que presque tous les ordinateurs sont compromis à un certain degré. En fonction de la gravité du programme malveillant, à moins d'indicateurs très mauvais ou erratiques, la plupart des utilisateurs pensent que leur logiciel audiovisuel fonctionne et que leur ordinateur fonctionne correctement. Bien, je déteste le dire, mais ils ne vont pas bien, pas du tout dans le sens de la Parole. L'une des premières choses qui se passe avec presque tous les logiciels malveillants est la compromission des défenses de l'ordinateur et des outils antivirus. Tout logiciel peut être compromis, cela dépend simplement du niveau de sécurité sous lequel le programme malveillant fonctionne. Windows, du fait de sa structure ouverte, est à peu près indéfendable une fois la sécurité au niveau de l'administration atteinte. Il n'y a pas de "structure de fichier protégée" et ne peut être violé ni repris - je le fais tout le temps lorsque je dois supprimer de force des fichiers infectés auto-protégés.

Ne dites pas tout cela pour vous faire peur, mais pour vous informer que vous utilisez probablement un ordinateur infecté - je sais que je le suis. La meilleure chose que je puisse dire est donc de ne jamais faire de banque en ligne. Ne présumez en aucun cas que ce que vous tapez est privé. Assurez-vous de n'utiliser que des cartes de crédit entièrement protégées contre TOUTE fraude, en ligne ou autrement. BTW, moins de 5 mois en arrière, ma carte de crédit a été compromise en environ 2 semaines à plus de 8 000 $. Vous avez tout récupéré, mais vous ne savez pas combien de pertes les sociétés émettrices de cartes de crédit vont subir avant de faire ces paiements.

Donc, tout simplement parce que la plupart des gens pensent que ces PUA ne sont pas vraiment présentes (ce qui est simplement idiot, elles le sont certainement, même si elles ne sont pas utilisées de manière malveillante) ou ne veulent pas croire qu'elles sont "vraiment" nocives, ne le faites pas. trop prompts à les croire. Soyez intelligent et essayez d'être aussi sûr que possible. Vous êtes surveillé - sans doute par quelqu'un.

-Rodger

3
Rodger Marjama