我今天早上正在更新 wget,赛门铁克通知我在 locale.exe 和 tzset.exe 中检测到木马
这是否意味着我的 cygwin 安装已被感染?
答案1
这很可能是假阳性。特洛伊木马是赛门铁克用来识别启发式检测到的“未知”威胁的名称——即与任何已知威胁的特征不匹配但具有让赛门铁克怀疑的特质的东西。快速的网络搜索表明,识别这种威胁的误报相当常见。Cygwin 的常见问题解答这也表明他们的产品总体上容易引起防病毒软件的恐慌。
Norton 论坛上的一个帖子包含从隔离区恢复文件、从未来扫描中排除文件以及向赛门铁克工程师提交文件样本的说明,以便他们可以调整启发式方法,避免特定类别的误报。
答案2
我昨天更新后也遇到了同样的问题,但我的 SSH 密钥都没问题。这几乎肯定是赛门铁克的误报。不幸的是,赛门铁克还决定 --删除 -- 我的可执行文件,而不是隔离它们。
万一您遇到同样的问题,您可以通过重新运行 Cygwin 安装程序并选择重新安装 cygwin / coreutils / cygutils 包来重新安装这些可执行文件。
答案3
我向 Symantec 提交了针对 locale.exe 的误报请求,他们已核实我的提交。他们将通过 LiveUpdate 分发新的定义,以消除对locate.exe 的检测。
但是抱歉,我对 tzset.exe 没有问题,所以这个的状态仍然未知......
答案4
2014 年 7 月更新:赛门铁克再次使用(显然疯狂的)Tojan.ADH.2 启发式方法将 Cygwin 的最新 col.exe、tzset.exe 和 locale.exe 标记为病毒(以便隔离或删除)。
因此,赛门铁克去年的所有经验教训都已失效。
我还将这些作为误报提交给赛门铁克,他们(再次?)证实他们的工具是流氓工具:
关于提交[3576111]。
经过进一步的分析和调查,我们验证了您的提交,因此将从我们的产品中删除此检测。
更新后的检测将在下一组病毒定义中分发,可通过 LiveUpdate 或我们的网站获取...