ClamAV:发现 PUA.Win.Exploit.CVE_2012_0110(/usr/share/mime/mime.cache)

ClamAV:发现 PUA.Win.Exploit.CVE_2012_0110(/usr/share/mime/mime.cache)

我最近使用以下命令扫描了我的系统(我正在运行最新版本的 ClamAV,并且我的定义是最新的):

sudo clamscan -r --detect-pua --infected --bell /

以下是结果之一:

/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110 FOUND

我以前从未见过这样的事情,那么这是什么?有什么值得担心的吗?我应该做些什么吗?此外,发现它的地点有什么用途?

附加信息:

您可以mime.cache在此处下载该文件:https://www.dropbox.com/s/58sxjv48ye4p6au/mime.cache?dl=0

我似乎已经找到了它CVE_2012_0110是什么,因为它是这一页

我已经在 VirusTotal 上扫描了该文件,虽然唯一检测到恶意内容的是附加信息底部的部分,我不一定相信一切都很好,因为如果说有什么东西被注入到该文件中,那么也许更多的是启发式方法可以检测到它,而不是匹配 MD5 总和。以下是报告:报告


操作系统信息:

Description:    Ubuntu 14.10
Release:    14.10

答案1

这可能只是误报。/usr/share/mime/mime.cache是系统上所有已知 MIME 类型的生成文件。它不是可执行文件。

病毒扫描程序通过一组已知指纹(哈希)检测恶意软件。这种模式不可避免地会导致一些误报。已知的 Windows 病毒与 Linux 系统上的指纹匹配可能只是巧合,也可能是因为指纹恰好与某种 MIME 类型模式匹配,而这种模式在任何 Linux 系统上都不可避免地会匹配……

目前,我不会担心这个问题,只需联系 ClamAV 团队询问他们是否已经知道这个问题。

另外还要确保及时更新最新的 ClamAV 指纹(freshclam)。

答案2

我的 Linux 上也遇到了同样的问题(缓存 PUA.Win.Exploit.CVE_2012_0110)。

所以我从 USB 或磁盘安装启动 > 尝试 Linux mint,> 在 (/usr/share/mime/mime.cache) 中查找文件并将其复制到 USB 棒。重新登录到我已安装的 Linux mint,并用复制到 USB 棒的那个替换系统上的那个(现在它不再被检测为病毒)

答案3

我全新安装了 Ubuntu 15.10,当我开始浏览网页时它就出现了。到目前为止,我只访问了某些网站。我查看了文件内部,它似乎是我电脑上各种程序的集合。我将 /usr/share/mime/mime.cache 的权限更改为 400。我还使用以下命令以 root 身份清空了该文件:

 echo " " > /usr/share/mime/mime.cache

更改权限的命令:

 chmod 400 /usr/share/mime/mime.cache

此外,ClamAV 倾向于检测 ~/.cache/mozilla/firefox/[string].default/cache2/entries/ 目录中的病毒,因此我将权限更改为 400,该目录中不再下载任何内容。[string] 看起来大约有 10 个字母数字字符,似乎每个用户配置文件都不同。Firefox 仍然有效,所以这是一个简单的解决方法。我在 Mac 和 Windows(不同的目录路径)上对 Firefox、Chrome 和 Safari 进行了同样的操作,浏览器可以正常工作,并且不会下载任何条目。

相关内容