我跑了ClamAV在我的系统上,它报告了两个检测。
据报道可感染漏洞在:
/usr/lib/mono/4.0/mscorlib.dll
/urs/lib/mono/4.5/mscorlib.dll
它说已采取的行动:无,我基本上可以选择隔离这些文件。这是病毒、木马还是其他恶意软件?我看到我安装的 Ubuntu 14.04 安装了 Mono(我假设它是在安装系统时默认安装的,因为我不记得自己安装过它)。如果这真的是恶意软件,我隔离并删除这些文件,会破坏任何东西吗?
我也有Windows 7的安装在我的Ubuntu 14.04系统和我使用ClamAV保护该系统免受可能的感染,因为我不想将可能的恶意软件传播给使用Windows 操作系统。我没有安装 Wine。
我尝试在各种在线论坛上查找,但发现对此存在相互矛盾的报道和意见,所以我在这里提出这个问题。
答案1
PUA 的意思是“潜在有害应用程序”,所以无论如何它都是一个优先级相当低的警报。
定义的其余部分表明它发现了一种 Windows 二进制格式,这种格式的压缩方式使得防病毒应用程序很难进行自检。这对恶意软件作者来说非常有用,因为他们可以不断更改恶意软件的签名以逃避检测。
在这种情况下,我认为这只是 Mono 构建方式的一个表现,ClamAV 过于多疑。我跑了一个副本我的通过 VirusTotal 查找 mscorelib.dlls然后它就干净了。我建议你也这么做。
如果这真的是恶意软件并且我隔离并删除了这些文件,我会破坏任何东西吗?
它会破坏 Mono,但如果它被感染,那也没什么大不了的。你只需要重新安装 Mono 软件包。
答案2
在我看来,PUA.Win32.Packer 及其所有变体(还有许多变体)都是可疑的。我刚刚使用 ClamTK(ClamAV GUI)在 Linux Mint 17.1 Cinnamon 64 位操作系统中对我的 Windows 8.1 驱动器进行了全面扫描,发现几乎每个文件类型中都有近 1000 个此类实例。我知道大多数人认为这个 PUA 实际上是一个误报,我可以理解。但是,当你在几乎所有你能想到的文件类型中都发现这个“误报”时,我想说你真的需要更加怀疑。我可以理解它可能存在于 .dll、.exe 和其他一些文件中,但为什么它会出现在 .pdf 或 .mp4 以及许多其他个人创建的文件类型中?
我之所以扫描此驱动器,是因为 Windows 的部分功能已经自我损坏,即使我使用 Windows 刷新修复了它们,它们也会在不久后自我损坏。我从事计算机技术工作已有 25 年,多年来遇到过几乎所有你能想到的问题。去年年初,我的家庭系统被感染,因为有人下载了欺骗性电子邮件并“相信”某些弹出窗口是合法的,并允许它们在联网计算机上运行。这是一场持续不断的战斗的开始,至今仍未解决。
归根结底,有如此多的计算机/服务器被感染,如此多的软件存在安全漏洞,几乎每台计算机都在某种程度上受到了威胁。根据恶意软件的严重程度,除非出现一些非常糟糕或不稳定的迹象,否则大多数人都认为他们的 AV 软件在运行,他们的计算机没有问题。好吧,我不愿意这么说,但他们并不好,在任何意义上都不是。几乎任何好的恶意软件首先会发生的事情之一就是破坏计算机防御和防病毒工具。任何软件都可能受到威胁,这取决于恶意软件在什么安全级别下工作。由于 Windows 是开放结构,一旦达到管理级别的安全性,它几乎是无法防御的。它没有任何“受保护的文件结构”,无法被破坏和接管——当我需要强制删除自我保护的受感染文件时,我总是这样做。
说这些不是为了吓唬你,而是告诉你,你很可能正在使用一台受感染的电脑——我知道我就是这样。所以,我能说的最好的事情是,永远不要进行网上银行业务。不要以任何方式假设你输入的内容是私密的。确保你只使用完全受到保护的信用卡,以防任何欺诈,无论是在线还是其他方式。顺便说一句,不到 5 个月前,我的信用卡在大约 2 周的时间内被盗用了超过 8,000 美元。我把钱全都拿回来了,但不知道信用卡公司在停止支付这些款项之前会损失多少。
因此,尽管大多数人认为这些 PUA 并不存在(这很愚蠢,即使没有被恶意使用,它们也肯定存在)或不愿意相信它们“真的”有害,也不要太快相信它们。保持聪明,尽可能保持安全。你正在被监视——毫无疑问,有人在监视你。
-罗杰