Ubuntu 12.04 中的快捷方式病毒

tag-icon tag-icon 12.04 malware
Ubuntu 12.04 中的快捷方式病毒

我喜欢 Ubuntu。我很震惊地发现这个病毒,只要我插入任何 USB 驱动器,它就会创建一个 Recycler 文件夹和许多“.lnk”文件。将 USB 重新插入运行 BitDefender Internet Security 2015 的 Windows PC 后,显然会将这些文件检测为恶意软件。它隐藏了 USB 中的所有数据。

老实说,15 天来我都不相信。我们公司使用 Ubuntu PC 上网。我所在大楼的所有 Ubuntu PC 都存在这个问题。我格式化了我的 PC,并全新安装了 Ubuntu 12.04。几天后病毒又出现了。

我今天在 Ubuntu PC 上安装了 BitDefender,并进行了全面系统扫描。检测到并删除了 11 个受感染文件。我重新扫描以确保没有受感染的文件。然而,一旦我重新插入闪存驱动器,就会创建 .lnk 文件。

我已经多次使用 apt-get 更新。我的 sources.list 有 Ubuntu 主存储库和更新存储库,其中包括安全更新。请帮助我从我的 Ubuntu PC 以及网络中的其他 PC 中根除此病毒。

我在 32 位机器、2 GB RAM、Intel Core 2 Duo 处理器上运行 Ubuntu 12.04 桌面。

我写了一篇关于如何在 Linux 中安装 BD 的文章,解释了这个问题。你可以阅读这里

sources.list 包含以下存储库:

###### Ubuntu Main Repos
deb http://in.archive.ubuntu.com/ubuntu/ precise main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise main restricted universe

###### Ubuntu Update Repos
deb http://in.archive.ubuntu.com/ubuntu/ precise-security main restricted universe
deb http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-security main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted universe

这些是在插入 USB 时创建的文件:Recycler 文件夹、AUTOEXEC.BAT.lnk、boot.ini.lnk、bootfont.bin.lnk、CONFIG.SYS.lnk、IO.SYS.lnk、MSDOS.SYS.lnk、pagefile.sys.lnk

日志文件 /opt/BitDefender-scanner/var/log/bdscan.log 包含以下内容:

//
// BitDefender scan report
//
// Time: Mon Jan 12 11:18:56 2015
// Command line: / --action=delete --suspect-copy --follow-link --log --no-list --no-warnings
// Core: AVCORE v2.1 Linux/i386 11.0.1.12 (Aug 7, 2014)
// Engines: scan: 17, unpack: 13, archive: 51, mail: 8
// Total signatures: 6337727
//

/media/580F-A489__/RECYCLER/temp/qedit.dld      infected: Trojan.Generic.12478731
/media/580F-A489__/RECYCLER/temp/qedit.dld      deleted
/media/580F-A489__/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211 infected: Trojan.GenericKD.2051722
/media/580F-A489__/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211 deleted
/media/580F-A489__/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211       infected: Trojan.GenericKD.2051722
/media/580F-A489__/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211       deleted
/media/580F-A489_/RECYCLER/temp/qedit.dld       infected: Trojan.Generic.12478731
/media/580F-A489_/RECYCLER/temp/qedit.dld       deleted
/media/580F-A489_/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211  infected: Trojan.GenericKD.2051722
/media/580F-A489_/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211  deleted
/media/580F-A489_/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211        infected: Trojan.GenericKD.2051722
/media/580F-A489_/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211        deleted
/media/DEEPAK/RECYCLER/temp/qedit.dld   infected: Trojan.Generic.12478731
/media/DEEPAK/RECYCLER/temp/qedit.dld   deleted
/media/DEEPAK/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211    infected: Trojan.GenericKD.2051722
/media/DEEPAK/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211    deleted
/media/DEEPAK/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211      infected: Trojan.GenericKD.2051722
/media/DEEPAK/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211      deleted
/bin/.flash/.u/44.58u.tar=>(gzip)=>0000000000.nls       password protected
/bin/.flash/.u/44.58u.tar=>(gzip)=>jg.nls       password protected
/bin/.flash/bin/comlnkdll       infected: Trojan.Generic.12478731
/bin/.flash/bin/comlnkdll       deleted
/bin/.flash/bin/comhorse.dat    infected: Trojan.GenericKD.2051722
/bin/.flash/bin/comhorse.dat    deleted


Results:
Folders            : 0
Files              : 619188
Packed             : 4029
Archives           : 15070
Infected files     : 11
Suspect files      : 0
Deleted files      : 11
Copied files       : 0
I/O errors         : 950
Files/second       : 407
Scan time          : 00:25:19

我无法找到确切的木马详细信息BD 病毒百科全书。 然而本文据称,Trojan.GenericKD 是一个 PUP(潜在有害程序),可能来自 CNET、Softonic、Brothersoft 等网站上的自定义安装程序。这些网站已被公司的 Web 网关屏蔽。

答案1

转到磁盘管理器并格式化 U 盘。

首先,要明白 Ubuntu 不存在快捷方式病毒。这是你的闪存驱动器在搞乱自己,或者你使用了 Wine。

如果您已经安装了 Wine,我建议您重新安装 Wine。

输入以下命令彻底删除 Wine:sudo apt-get remove wine

输入以下命令再次安装 wine:sudo apt-get install wine

这应该可以解决问题。

答案2

据我所知,Ubuntu 或任何其他 Linux 发行版都不会受到快捷方式病毒的影响。您的系统中必须运行某种 Windows 进程。即使我们假设您的系统受到针对 Linux 的快捷方式病毒的影响,它创建 .lnk 文件的目的是什么,因为这些文件将在 Windows 系统上运行。

您是否发现有任何 .exe 文件或 .bat 文件被复制到您的 U 盘中?

正如 Ubuntu 文档所解释的,BitDefender 可以识别您系统上的 Windows 病毒。

BitDefender 是一款用于检查 Windows 病毒和恶意软件的程序。它可以在后台运行,也可以在需要时按需运行。安装后,可以在“应用程序 - 系统工具”下找到它。它可以用作 clamav/clamtk 的替代品。 Ubuntu 文档

因此,如果显示任何病毒,则意味着您的系统上有 Windows 病毒。这些病毒在 Ubuntu 上不起作用。

答案3

很抱歉将此作为答案发布,但我会随着讨论的进行编辑和更新此答案,以尽量减少评论数量并保持内容整洁。我有蛤蜊安装只是为了能够检测我通过 USB 连接的 NTFS 硬盘上的 Windows 病毒。(没有安装守护进程)

此外,clamav在标准 Ubuntu 软件存储库中可用,并由 Canonical 推荐:https://help.ubuntu.com/community/ClamAV你为什么要安装 bitdefender?

您说.lnk 文件不断出现,并且遍布您公司的网络。您是否在那些启用了访客帐户的机器上安装了 Samba?

你说你已经使用 12.04 重新安装。为什么要有终止使用版本?

如果您能回答上述问题,我确信我可以通过使用免费软件更好地帮助您。

相关内容