ClamAV 在 Conda 包中的 Ubuntu 实例上检测到 Win.Virus.Expiro-10004389-0 恶意软件

2024-6-2 • tag-icon

ClamAV 在 Conda 包中的 Ubuntu 实例上检测到 Win.Virus.Expiro-10004389-0 恶意软件

今天，clamAV 扫描了我的 AWS 实例并检测到每个实例上都有受感染的文件。由于以下几个原因，它看起来像是误报：

所有这些文件都是在 2021 年创建的（为什么现在才被发现？）
每个实例的 SSH 端口都受到 MFA + 密码 + VPN 的保护。

所有这些文件都在 Conda 环境中，并且只有 exe 文件被感染（我的 AWS 实例是 Ubuntu 操作系统）。

这可能是同样的问题这里？

/home/kidas/anaconda3/pkgs/conda-build-3.24.0-py310h06a4308_0/lib/python3.10/site-packages/conda_build/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/pkgs/conda-build-3.24.0-py310h06a4308_0/lib/python3.10/site-packages/conda_build/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/pkgs/conda-23.3.1-py310h06a4308_0/lib/python3.10/site-packages/conda/shell/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/pkgs/conda-23.3.1-py310h06a4308_0/lib/python3.10/site-packages/conda/shell/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda/shell/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda/shell/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda_build/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda_build/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND

VirusTotal 结果（显示所有 AV - 除这些 AV 外未被检测到）：

                "ClamAV": {
                    "category": "malicious",
                    "engine_name": "ClamAV",
                    "engine_version": "1.1.0.0",
                    "result": "Win.Virus.Expiro-10004389-0",
                    "method": "blacklist",
                    "engine_update": "20230730"
                },
                "SymantecMobileInsight": {
                    "category": "type-unsupported",
                    "engine_name": "SymantecMobileInsight",
                    "engine_version": "2.0",
                    "result": null,
                    "method": "blacklist",
                    "engine_update": "20230119"
                },
                "Trustlook": {
                    "category": "type-unsupported",
                    "engine_name": "Trustlook",
                    "engine_version": "1.0",
                    "result": null,
                    "method": "blacklist",
                    "engine_update": "20230730"
                },
                "Avast-Mobile": {
                    "category": "type-unsupported",
                    "engine_name": "Avast-Mobile",
                    "engine_version": "230730-02",
                    "result": null,
                    "method": "blacklist",
                    "engine_update": "20230730"
                },
                "Google": {
                    "category": "malicious",
                    "engine_name": "Google",
                    "engine_version": "1690700450",
                    "result": "Detected",
                    "method": "blacklist",
                    "engine_update": "20230730"
                },
                "BitDefenderFalx": {
                    "category": "type-unsupported",
                    "engine_name": "BitDefenderFalx",
                    "engine_version": "2.0.936",
                    "result": null,
                    "method": "blacklist",
                    "engine_update": "20230729"
                }

答案1

根据 Virustotal 引擎的最新问题，我发现一些防病毒引擎将其检测为恶意软件。我能给出的最佳建议是暂停对这些文件的所有操作几天。并在一周后重复检查。然后，如果您看到更多 AV 引擎确认它已被感染，您可以采取相应的措施。您也可以向 Clamav 提交案例（以前从未这样做过）并要求进行更深入的调查。

如果只有少数不太知名的 AV 名称提出警告，那么您可以高度肯定地确认文件没有问题并恢复操作。

答案1

相关内容