web-dev-qa-db-fra.com

Clamav détecte les chevaux de Troie

Je viens d'analyser mon système et clamav a détecté quelques fichiers suspects:

File: .cahe/mozilla/firefox/jqxk4r44.default/cache2/entries/750B6E2F1286....
Status: PUA.Win.Exploit.CVE_2012_1461-1

File: .cahe/mozilla/firefox/jqxk4r44.default/cache2/entries/F099C33HJ45J....
Status: PUA.Win.Exploit.CVE_2012_1461-1

File: .config/libreoffice/4/user/basic/Standard/Module1.xba
Status: PUA.Doc.Tool.LibreOfficeMacro-2

File: Downloads/nodejs/node-v8.9.4-linux-x64/lib/node_modules/imurmurhash/imurmurhash.min.js
Status: PUA.Win.Trojan.Xored-1

Quelle est la probabilité que ces fichiers soient de véritables menaces/chevaux de Troie?

5
saitam

PUA.Win.Exploit.CVE_2012_1461-1

  • PUA signifie "application potentiellement indésirable". Les PUA ne sont pas des virus, ce sont des affirmations de clamav qu’il existe une application qu’ils considèrent "non désirée" parce que ce fichier ou cette extension s’est avéré être un abus dans Windows
  • Win en 2ème partie signifie qu'il s'agit d'un avis relatif à Windows.
  • clamav a une option pour ne pas rechercher de PUA.

Ma conclusion: rien à craindre.

Cela laisse ...

PUA.Doc.Tool.LibreOfficeMacro-2

.config/libreoffice/4/user/basic/Standard/Module1.xba a une extension clamav qui est activée. Ils croient que xba, les macros visuelles de base, sont considérés comme "indésirables". Voir Clamtk rapporte ces fichiers LibreOffice comme des menaces possibles. Sont-ils en sécurité? pour une liste plus complète, les réponses et les commentaires.

ClamAV est un logiciel notoirement défectueux: baser vos analyses et vos avertissements sur Windows puis les appliquer à Linux ne fonctionne pas et ne fonctionnera jamais.

Lorsque vous voyez un avis comme celui-ci et que vous pensez vraiment que clamav est l'outil à utiliser, l'étape suivante consiste à vérifier auprès d'une deuxième source: par exemple, téléchargez le fichier sur un site du type virustotal ou utilisez un 2nd logiciel virusscan avec clamav (où lorsque les deux revendiquent le même problème que vous étudiez et les considérez autrement comme des faux positifs).

Mais j’abandonnerais complètement clamav et suivrais une méthode basée sur Linux: utilisez debsum (lien vers la page de manuel) pour vérifier packages (lien vers un guide pratique).

Et quand vous êtes vraiment paranoïaque (voici Panda), utilisez tout ce qui précède;)

5
Rinzwind