Windows Defender 2019 年 12 月 8 日报告Win64/LongageUbuntu 18.04.3 实时服务器中存在严重木马恶意软件,文件:
ubuntu-18.04.3-live-server-amd64.iso->
pool\main\l\linux\linux-modules-4.15.0-55-generic_4.15.0-55.60_amd64.deb->data.tar.xz->(xz)->
./lib/modules/4.15.0-55-generic/kernel/drivers/md/raid456.ko
答案1
我今天收到了完全相同的消息。我再次将 .iso 下载到单独的 Ubuntu 机器并验证了校验和:
$ echo "b9beac143e36226aa8a0b03fc1cbb5921cff80123866e718aaeba4edb81cfa63 *ubuntu-18.04.3-live-server-amd64.iso" | shasum -a 256 --check
ubuntu-18.04.3-live-server-amd64.iso: OK
之后,我提取了有问题的文件(raid456.ko)并上传到virustotal.com: https://www.virustotal.com/gui/file/9443cd40874b29cf452a7af3a033fc72f5afff26e2bfd43ca0dfcf81c5a9127f/detection
上一次分析是在一个月前,当时没有问题。我又重新分析了一次,似乎现在只有微软将其检测为 Trojan:Win64/Longage: 截屏
我想说的是,新的 Microsoft Defender 签名在这里触发了误报。即使在极不可能的情况下,Ubuntu 会在 .iso 中嵌入木马,Windows 机器本身也不会/不应该执行 Linux (ELF) 二进制文件,因此 Windows 方面无需担心。但是,如果真是这样,我们当然会担心更大的问题。
我已将此文件提交给 Microsoft,并将其标记为误报,使用以下链接:https://www.microsoft.com/en-us/wdsi/filesubmission
如果我收到微软分析师的回复,我会更新这个答案。
更新:微软尚未做出回应,但他们的引擎不再检测到这种情况。不过 TrendMicro 现在检测到了。这是误报的可能性极高。
更新 2:我昨天也已将文件提交给 TrendMicro(尚未回复 - 不会跟进)。我认为此案已结案。微软回复:
我们已删除该检测。请按照以下步骤清除缓存的检测并获取最新的恶意软件定义。
- 以管理员身份打开命令提示符并将目录更改为 c:\Program Files\Windows Defender
- 运行“MpCmdRun.exe -removedefinitions -dynamicsignatures”
- 运行“MpCmdRun.exe -SignatureUpdate”
或者,您可以在此处下载最新定义:https://www.microsoft.com/en-us/wdsi/definitions
感谢您联系 Microsoft。