Ubuntu 中有木马吗?DigiNotar

tag-icon tag-icon security malware
Ubuntu 中有木马吗?DigiNotar

星期三,我将 Ubuntu 10.04LTS 的旧版本安装到一台崭新的台式电脑上,这台电脑除了 CPU 之外还配备了全新的硬件(DSL 调制解调器)。然后,我从 Ubuntu.com 下载了 Ubuntu 12.04,并在删除 v10.04 并安装新操作系统之前比较了哈希值。旧的 10.04 磁盘和我刻录了 Ubuntu v12.04 ISO 文件的原始 CD 是这台电脑见过的唯一外部媒体。

作为一名新加入开源社区的 Windows 用户(理由很充分),我一直在使用 ClamTk 扫描我下载的每个文件,并每隔几个小时随机扫描整个系统。它在

  • Ubuntu 内置的 Ruby 程序;
  • Photoshop 文件和
  • 我昨晚下载的 SysInternals 工具;以及
  • Firefox 缓存中的几个文件。

除一个恶意软件样本外,其他所有恶意软件样本都属于同一家族。当被指示隔离 Firefox 缓存中的受感染文件时,ClamTk 似乎这样做了,但隔离列表是空的。为了谨慎起见,我清空了缓存。注意:ClamTk 拒绝隔离受感染的 Ruby 和 Photoshop 文件。这是正常的吗?

Google 提供的关于这些木马的信息很少,只知道它们最早是在 10 年前被发现的。过去两周,Google 上关于它们的查询似乎激增。Ruby 不太可能一直都有已知的木马,而 ClamTk 直到现在才将其忽略……我怀疑这些恶意软件是误报。

一些问题:

  1. 还有其他人使用 ClamTk 发现 PUA.Win32.xxxxx 吗?

  2. Ubuntu 是否天然免疫名为“Win32”的恶意软件?

    实际上,促使我在这里发帖的原因是,当我检查 Firefox 首选项时,发现安全证书列表中有六个 DigiNotar 条目(高级-->加密-->查看证书)。去年秋天,IT 安全界排斥了 DigiNotar,而 Mozilla 永久将 DigiNotar 从其批准的认证提供商列表中删除(参见http://blog.mozilla.org/security/2011/09/02/diginotar-removal-follow-up/)。

    所以,我想知道:

  3. Ubuntu 开发人员是否忘记从 Ubuntu 版本的 Firefox v12.04 中删除 DigiNotar?
  4. 您的认证机构列表中还有其他人拥有 DigiNotar 吗?
  5. 我发现的 DigiNotar 证书和木马有关联吗?

感谢您提供的任何信息。

答案1

  1. 如果有人能够成功找到它,那可能是因为其他分区中的双重启动、Torrent 下载或不受信任的第三方共享或下载。我从未在我的系统中找到它。

  2. Ubuntu 对任何以 win32 命名的木马都无法免疫。

    你不必担心这一点。DigiNotar 是Not Trusted默认的。要查看,请选择Edit trust其下方的选项。因此它与不存在一样好。只需确保Ask me Every time选择了该选项即可。

    对话图像

  3. 确认,安全团队确实在这里解决了这个问题版本nss (3.12.11-3) unstable; urgency=high说明明确表示不信任未删除,而当前版本为nss (3.13.1.with.ckbi.1.88-1ubuntu6.1) precise-security。所以您完全不必担心。

    更新日志

  4. 实际上,证书管理器中有两个证书菜单,分别是ServerAuthorities。我的部分中有 DigiNotar Server,列出的第一个是已过期,需要手动删除它。

    证书

  5. 只有受影响的证书颁发机构或安全测试团队可以确认。

答案2

  1. 不,并且也与 Ruby 无关。
  2. 不,恶意软件的“名称”并不重要。如果你指的是旨在在 Windows 上运行的恶意软件可执行文件,那么是的,它们在 Ubuntu 上不起作用。
  3. 我不这么认为,Mozilla 就是这么做的,而 Debian/Ubuntu 只是打包东西,然后为自己的发行版添加补丁和配置调整
  4. 我在 12.04 版 Firefox 中找不到任何此类证书
  5. 我不知道,也许吧?你一开始提到了一个“新”系统,但后来你又说你在 Photoshop 文件和你下载的东西中发现了木马……

答案3

看来这里有两个系统 - 一个运行 Windows,另一个运行 Ubuntu - 清楚吗?

一 - 您的 Windows 看起来像是感染了木马,现在您的 Ubuntu 可能也感染了同样的木马……

其次,特洛伊木马是一种在您不知情的情况下入侵的恶意软件,因此您需要使用防病毒软件进行扫描并将其清除。

第三,该木马从 Windows 进入你的 Ubuntu 安装文件,感染你的 Ubuntu,而大多数来自(实际上是所有)Windows 的木马无法在 Ubuntu 中运行或执行任何操作,因为它们不是为 Ubuntu 创建的

第四,你可以用 ClamTK 来扫描和删除一些东西,但请记住,ClamTk 并不是那么好,因为他们不倾向于在反病毒方面做太多的工作,因为不应该有病毒,所以为什么要创建一个超级 ClamTk 并浪费时间开发它,如果他们实际上不打算使用它...

您可以尝试安装更好的防病毒软件,例如 Avast,在 Google 上查找如何安装,然后看看您可以做什么... 我怀疑您不会遇到任何问题 - 因为 Ubuntu 对病毒具有很强的免疫力,而且肯定对 Photoshop 文件具有免疫力。进入 Windows 并扫描磁盘 - 硬盘并从那一侧清理干净,然后一切都应该没问题....

相关内容