varredura clamav interface grafica

Iniciado por gumer, 20 de Outubro de 2015, 18:28

tópico anterior - próximo tópico

gumer

Olá pessoal
sou novato em linux por isso tenho uma duvida em relação a segurança instalei o clamav anti-virus e a interface grafica acabou acontecendo que ele achou 3 ameaças seguem os dados

/usr/lib/mono/4.5/mscorlib.dll      PUA.Win32.Packer.PrivateExeProte-7     
/usr/lib/mono/4.0/mscorlib.dll      PUA.Win32.Packer.PrivateExeProte-7     
/usr/share/mime/mime.cache         PUA.Win.Exploit.CVE_2012_0110   

eu baixo a iso sempre do site oficia. Ficaria muito grato se alguém me ajuda-se pois é "meio desconfortavel" passar o anti-virus e ficar essas 3 advertencias !!!!
       


zekkerj

Esses arquivos ".dll" não fazem parte da instalação do Ubuntu. De onde eles vieram?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

gumer

Eu nao sei de onde vieram esses dll. meu note estava apenas com o win 7 instalei ubuntu 14.04 em cima dele ja tem 2 meses sempre que corri o clamav aparecia apenas a terceira linha das 3 de advertencia o maximo que fiz foi plugar controle do ps3 para carregar via usb e uma impressora que esta ligada na usb. Tem um fato que me lembro entrei no site baixaki e o firefox deu alerta em tela vermelha que o site tinha foco de "ataque" cliquei em "me tire daqui" como nunca aconteceu isso entrei 3 vezes no site e fiz o procedimento 3 vezes entao passados 4 dias corri o clamav interface grafica e acusou essas 3 notificaçoes, porem nao é possivel coloca-los em quarentena.
sera que seria caso de formatar o note. o que vc acha

zekkerj

Acho que:
1. O site do baixaqui é um lixo.
2. Esses arquivos fazem parte de alguma instalação de "mono", que é um aplicativo que tenta simular algumas coisas de Windows no Linux. Eles não foram parar aí sozinhos, eles fazem parte de alguma instalação, já que estão na pasta "/usr/lib". Sugiro que você reveja os pacotes ou sistemas que instalou recentemente, algum deles deve ter trazido esses arquivos.

Outra coisa que vc pode fazer é procurar uma segunda opinião. Há alguns sites, como o VirusTotal (www.virustotal.com). Basta selecionar o arquivo suspeito e enviá-lo para verificação.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

antony-ag

"O Wine instala o mono automaticamente quando necessário." (http://wiki.winehq.org/Mono)

Não acho que estes arquivos estejam infectados. Alguns antivírus apontam falsos positivos em diversas situações, uma delas ocorre em alguns casos em que certos arquivos tenham sido modificados para "violar"(interpretação dos antivírus, rs) softwares proprietários e blá blá blá...

Sabemos que o Wine((W)ine (I)s (N)ot (E)mulator) não é um emulador, mas simula um ambiente windows para que determinadas aplicações funcionem. Para que o wine funcione corretamente são necessárias bibliotecas e programas de terceiros, é ai que entra o Mono para rodar aplicações .NetFramework
Já no que tange ao Mono, eu acredito que estas bibliotecas que apontaram infecções tenham sido modificadas pelos próprios desenvolvedores do Mono de acordo com alguma necessidade do programa.

Quanto ao mime.cache, não tenho muito o que falar, além de que dei uma boa googleada e encontrei vários tópicos finalizados com a conclusão de que esta detecção é um falso positivo

Espero ter ajudado.

Att,
Antony Gabarron

gumer

Primeiramente muito obrigado zekkerj e antony-ag por ajudar na minha duvida.
fiz o seguinte entrei no site www.virustotal.com e coloquei os dois arquivos mscorlib.dll para analise sendo que tem o mesmo nome mas em dois subdiretorios diferente 4.5 e 4.0 respectivamente, quanto a analise diz ser aparentemente seguro para uso. Para ir mais a fundo mandei reanalizar os dois arquivos e deu o mesmo resultado, só nao tenho certeza quanto a politica do site em compartilhamento de dados espero que nao passe meu ip ou algo assim. Outro detalhe importante essa ISO do ubuntu 14.04 que instalei no note foi baixada no mesmo dia do lançamento final de abril de 2014 a release do sitema esta em 14.04 ja agora em outubro de 2015 a release esta em 14.04.03 alem de estar mais estavel provavelmente nao deve ter essas "gambiarras" de mono embutida. Mas que é um pé no saco esses avisos do clamav isso nao tem como negar, peço opiniao de voces formato o note instalo a nova iso ou deixo assim mesmo. grato

zekkerj

Se neste ponto do tópico você ainda não se convenceu de que o problema não está no Ubuntu, não está na ISO, e sim no Wine que você instalou, ou, mais propriamente, no Clamav que você está usando sem necessidade --- varredura de vírus de windows em máquina Linux?... ---, não adianta dizer pra você que isso tudo é um caso de falso positivo. Formate seu sistema.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

antony-ag

O mono não é uma gambiarra, é uma plataforma voltada à execução de programas baseados em NetFramework. E assim como eu disse, provavelmente foi instalado com seu wine.
Possiveis soluções:
-> Confiar na segurança do sistema e desinstalar o clamav
-> Ignorar os falsos positivos e adicionar os arquivos à "zona de segurança" do seu antivírus.
-> Formatar o pc, como o zekkerj sugeriu e não utilizar o wine.

Att,
Antony Gabarron

gumer

só tem um problema eu nao tenho o WINE instalado nunca instalei isso nem ppa eu tenho instalado todos os programas q instalei estao nos repositórios do ubuntu, pra mim é um mistério o Mono. Alias tenho chrome, 4kdownload e o frostwire baixados dos sites oficiais e nativos para linux. o frostwire ja exclui pois necessitava de atualização do opendjdk-8-je e nao tem nos repositórios do ubuntu 14.04, como disse no começo sou novato estou gostando muito do ubuntu e nao penso em usar outro S.O, pode ter ocorrido de atualizar pelo terminal apt-get update ele da mensagem ( x ) pacotes atualizados, ( y ) pacotes novos instalados , ( w ) pacotes a serem removidos ( z ) nao atualizados
no lugar do (x) sao atualizados os pacotes que variam hoje por ex foram 8. ele pergunta se quer atualizar coloca s de sim efetua atualização quando reiniciei o note, o atualizador de programas apareceu no icone que tinham arquivos base de segurança para atualizar 115mg acho q era sobre o kernel eu estava na versao 3.13.0-65, rodei o apt-get update novamente e no ( z ) constava que tinha 4 nao atualizados. entao eu instalei pelo atualizador de programas e vi um tutorial pelo synaptic,  o fato que fiz o passo e realmente atualizou para 3.16.0-50 pois essa versao do kernel ja constava no repositório. Para finalizar, como disse eu atualizo pelo terminal todo dia apt-get upgrade novamente ( z ) nao atualizados tinham 4 pendencias, atualizei pelo atualizador de programas nao precisei ir no synaptic e estou com kernel 3.16.0-51.
seria essa a explicação para ter instalado o mono ?... peço desculpa em insistir no topico mas essa duvida pode ser util para mais pessoas.