我正在使用 Clamav 扫描我的一个系统,如下所示:
$ clamscan -r -i --remove --max-filesize=4000M --max-scansize=4000M \
--exclude=/proc --exclude=/sys --exclude=/dev --bytecode-timeout=190000
它刚刚在我的下载目录中发现了病毒:
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
这种恶意软件会造成什么损害?
我从 Oracle 官方网站下载了这个文件,所以我不明白它是如何被感染的。在这个文件进入我的系统并且我在我的 Fedora 上安装了某种恶意软件之前,是否有人对其进行了操作?
我从系统中删除了有问题的 Java,并从存储库中激活了 openjdk。
信息来自甲骨文:
摘抄:
CVE-2013-2472 Oracle Java SE 的 Java 运行时环境组件(子组件:2D)中的漏洞。受影响的受支持版本包括 7 Update 21 及之前版本、6 Update 45 及之前版本以及 5.0 Update 45 及之前版本。易于利用的漏洞允许通过多种协议成功进行未经身份验证的网络攻击。成功攻击此漏洞可能会导致未经授权的操作系统接管,包括任意代码执行。
注意:仅适用于 Java 客户端部署。此漏洞只能通过沙盒 Java Web Start 应用程序和沙盒 Java applet 来利用。
CVSS 基本分数 10.0(机密性、完整性和可用性影响)。 CVSS V2 矢量:(AV:N/AC:L/Au:N/C:C/I:C/A:C)。 (图例)【咨询】
这是什么程序,这是Linux病毒吗?注意“导致未经授权的操作系统接管”。
编辑#1
以下是扫描结果:
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Unix.Trojan.MSShellcode-21 FOUND
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 3791398
Engine version: 0.98.6
Scanned directories: 103265
Scanned files: 746031
Infected files: 2
Total errors: 18624
Data scanned: 330294.49 MB
Data read: 367850.33 MB (ratio 0.90:1)
Time: 33458.657 sec (557 m 38 s)
17 April 2015
ClamAV 说有两种感染,根据 @dhag 的说法,情况并非如此,一种是 Java 中的漏洞利用/漏洞......我很好奇为什么扫描经常从 nmap 目录中删除脚本。我怀疑这不是恶意软件,而是与脚本的功能有关。
答案1
我认为该消息Java.Exploit.CVE_2013_2472 FOUND意味着该安装程序适用于受您发布的描述的安全错误影响的 Java 版本。
如果是这样,那么它根本就不是病毒,只是某种合法但危险的软件。我想说,来自 ClamAV 的消息有点令人困惑,删除受影响文件的操作可能不是最明智的,但这值得商榷。