星期三,我将 Ubuntu 10.04LTS 的旧版本安装到一台崭新的台式电脑上,这台电脑除了 CPU 之外还配备了全新的硬件(DSL 调制解调器)。然后,我从 Ubuntu.com 下载了 Ubuntu 12.04,并在删除 v10.04 并安装新操作系统之前比较了哈希值。旧的 10.04 磁盘和我刻录了 Ubuntu v12.04 ISO 文件的原始 CD 是这台电脑见过的唯一外部媒体。
作为一名新加入开源社区的 Windows 用户(理由很充分),我一直在使用 ClamTk 扫描我下载的每个文件,并每隔几个小时随机扫描整个系统。它在
- Ubuntu 内置的 Ruby 程序;
- Photoshop 文件和
- 我昨晚下载的 SysInternals 工具;以及
- Firefox 缓存中的几个文件。
除一个恶意软件样本外,其他所有恶意软件样本都属于同一家族。当被指示隔离 Firefox 缓存中的受感染文件时,ClamTk 似乎这样做了,但隔离列表是空的。为了谨慎起见,我清空了缓存。注意:ClamTk 拒绝隔离受感染的 Ruby 和 Photoshop 文件。这是正常的吗?
Google 提供的关于这些木马的信息很少,只知道它们最早是在 10 年前被发现的。过去两周,Google 上关于它们的查询似乎激增。Ruby 不太可能一直都有已知的木马,而 ClamTk 直到现在才将其忽略……我怀疑这些恶意软件是误报。
一些问题:
- 还有其他人使用 ClamTk 发现 PUA.Win32.xxxxx 吗?
Ubuntu 是否天然免疫名为“Win32”的恶意软件?
实际上,促使我在这里发帖的原因是,当我检查 Firefox 首选项时,发现安全证书列表中有六个 DigiNotar 条目(高级-->加密-->查看证书)。去年秋天,IT 安全界排斥了 DigiNotar,而 Mozilla 永久将 DigiNotar 从其批准的认证提供商列表中删除(参见http://blog.mozilla.org/security/2011/09/02/diginotar-removal-follow-up/)。
所以,我想知道:
- Ubuntu 开发人员是否忘记从 Ubuntu 版本的 Firefox v12.04 中删除 DigiNotar?
- 您的认证机构列表中还有其他人拥有 DigiNotar 吗?
- 我发现的 DigiNotar 证书和木马有关联吗?
感谢您提供的任何信息。
答案1
如果有人能够成功找到它,那可能是因为其他分区中的双重启动、Torrent 下载或不受信任的第三方共享或下载。我从未在我的系统中找到它。
Ubuntu 对任何以 win32 命名的木马都无法免疫。
你不必担心这一点。DigiNotar 是
Not Trusted
默认的。要查看,请选择Edit trust
其下方的选项。因此它与不存在一样好。只需确保Ask me Every time
选择了该选项即可。确认,安全团队确实在这里解决了这个问题版本
nss (3.12.11-3) unstable; urgency=high
说明明确表示不信任未删除,而当前版本为nss (3.13.1.with.ckbi.1.88-1ubuntu6.1) precise-security
。所以您完全不必担心。实际上,证书管理器中有两个证书菜单,分别是
Server
和Authorities
。我的部分中有 DigiNotarServer
,列出的第一个是已过期,需要手动删除它。只有受影响的证书颁发机构或安全测试团队可以确认。
答案2
- 不,并且也与 Ruby 无关。
- 不,恶意软件的“名称”并不重要。如果你指的是旨在在 Windows 上运行的恶意软件可执行文件,那么是的,它们在 Ubuntu 上不起作用。
- 我不这么认为,Mozilla 就是这么做的,而 Debian/Ubuntu 只是打包东西,然后为自己的发行版添加补丁和配置调整
- 我在 12.04 版 Firefox 中找不到任何此类证书
- 我不知道,也许吧?你一开始提到了一个“新”系统,但后来你又说你在 Photoshop 文件和你下载的东西中发现了木马……
答案3
看来这里有两个系统 - 一个运行 Windows,另一个运行 Ubuntu - 清楚吗?
一 - 您的 Windows 看起来像是感染了木马,现在您的 Ubuntu 可能也感染了同样的木马……
其次,特洛伊木马是一种在您不知情的情况下入侵的恶意软件,因此您需要使用防病毒软件进行扫描并将其清除。
第三,该木马从 Windows 进入你的 Ubuntu 安装文件,感染你的 Ubuntu,而大多数来自(实际上是所有)Windows 的木马无法在 Ubuntu 中运行或执行任何操作,因为它们不是为 Ubuntu 创建的
第四,你可以用 ClamTK 来扫描和删除一些东西,但请记住,ClamTk 并不是那么好,因为他们不倾向于在反病毒方面做太多的工作,因为不应该有病毒,所以为什么要创建一个超级 ClamTk 并浪费时间开发它,如果他们实际上不打算使用它...
您可以尝试安装更好的防病毒软件,例如 Avast,在 Google 上查找如何安装,然后看看您可以做什么... 我怀疑您不会遇到任何问题 - 因为 Ubuntu 对病毒具有很强的免疫力,而且肯定对 Photoshop 文件具有免疫力。进入 Windows 并扫描磁盘 - 硬盘并从那一侧清理干净,然后一切都应该没问题....