Vírus no cache do Firefox

Iniciado por Rafael Favero, 05 de Junho de 2016, 18:14

tópico anterior - próximo tópico

Rafael Favero

Olá, recentemente fiz um tópico no qual relatei um problema, uma dúvida em relação aos vírus do Windows através do Wine, também no problema foi relatado uma detecção do Clamav no cache do Firefox.
Fui aconselhado a criar um outro perfil no Firefox, exclui o antigo e criei um novo, escaneei novamente com o Clamav e houve a mesma detecção. Não acessei nenhum site que me parecesse estranho, aliás, faz poucas horas que fiz esse novo perfil e ele está infectado.

Tal infecção: /home/rafael/.cache/mozilla/firefox/ggz1qvrp.Rafael/cache2/entries/5234292A43F729DE57A014557F0A1DD92707BBF7: Sanesecurity.Malware.26215.JsHeur.UNOFFICIAL FOUND

Pesquisei e esse JsHeur seria:
JS / Heur é um software malicioso que, uma vez que é executado tem a capacidade de se replicar e infectar outros arquivos e programas. Estes tipo de malware, chamado de vírus, pode roubar espaço em disco e memória que retarda ou completamente pára o seu PC. Ele também pode danificar ou apagar os dados, apagar seu disco rígido, roubar informações pessoais, sequestrar sua tela e de spam seus contatos para se espalhar para outros usuários. Normalmente, um vírus é recebido como um anexo em um e-mail ou mensagem instantânea.

Criei um novo perfil. foi detectado, limpei o cache, escaneei novamente e o Malware está ainda no cache, alguma sugestão de como resolver isso? 

<Atualização:>

Utilizei o BleachBit, e ele limpou tudo, porém utilizei novamente o Clamav e foi detectado, já tentei várias vezes remove-lo esse tal Malware do cache.
Comando utilizado: sudo clamscan -r -i --remove
Resultado: /home/rafael/.cache/mozilla/firefox/ggz1qvrp.Rafael/cache2/entries/5234292A43F729DE57A014557F0A1DD92707BBF7: Sanesecurity.Malware.26215.JsHeur.UNOFFICIAL FOUND
/home/rafael/.cache/mozilla/firefox/ggz1qvrp.Rafael/cache2/entries/5234292A43F729DE57A014557F0A1DD92707BBF7: Removed.

Porém toda vez que escanei, o tal Malware está de volta.



druidaobelix

#1
Talvez seja um falso positivo, é necessário estudar melhor a questão do UNOFFICIAL

De quialquer forma, às vezes é necessário um pouco de força bruta,   :) remova o diretório.

Antes feche o Firefox e depois vá ao Terminal e faça:

Vá para dentro do seu /home fazendo:

cd ~

Em seguida remova o diretório do cache do Firefox:

rm -r .cache/mozilla/firefox/

Se quiser atingir a perfeirção, faça essa remoção a partir de um live-iso (pendrive ou cdrom)

Quando reiniciar o Firefox irá recriar o diretório.

Uma solução melhor ainda seria logo em seguida ter removido, recriar novamente o perfil, da forma como você já sabe fazer e foi visto no outro tópico.

Passe novamente o clamav na sua /home e vamos ver o que retorna.

Reabra e em seguida feche o Firefox

Repita a varredura com o clamav e veja se o resultado se mantém.

Em tempo:

Estou supondo que você tenha conseguido implementar o DNS Seguro conforme vimos antes em outro tópico, certo ?
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

druidaobelix

Pois então, /Rafael Favero/,

Ocorreu-me fazer um comentário adicional: caso necessite ou goste de navegar em "sites perigosos", caso tenha um bom computador, com uma razoável cpu e pelo menos 4GB RAM, a instalação de uma Máquina Virtual pode ser uma excelente e muitíssima segura opção.

Oracle VM VirtualBox, atualmente na versão 5.0, pode ser encontrada aqui:

https://www.virtualbox.org/

Funciona que é uma maravilha, você terá um Linux rodando isoladamente dentro de um outro Linux, é uma espécie de 'contaneir', onde o isolamento é total.
Lá você poderá navegar em quaisquer sites que queira, sem nenhuma preocupação de contaminar seu sistema operacional real, da sua máquina real.

Ainda, se for um tanto quanto "paranóico" por segurança, pode criar uma VM especial e exclusivamente  para transações financeiras (bancos, cartões de crédito, paypal, etc), de tal forma que jamais terá contato com qualquer outra espécie de site, enfim, é o top da segurança (na verdade é paranóia de segurança mesmo), enfim, é uma opção.

Mas uma máquina de bom hardware é mesmo um requisito para o conjunto do sistema ficar suave e rodar bem, porém a segurança é impecável.

www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

druidaobelix

CitarSanesecurity.Malware.26215.JsHeur.UNOFFICIAL FOUND

Mais uma pequena sugestão,

No seu Firefox instale a extensão "QuickJS"

Vai criar um botão na barra superior onde será possível a um simples toque desabilitar o Java Script no navegador, "matando" qualquer chance de execução de script malicioso.

Digo isso porque o scan do clamav está indicando o malware JS/Heur e o tal JS aí é nada menos que o Java Script, uma conhecida fonte de problemas.
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Rafael Favero

Olá Druidaobelix, fiz o que você indicou, e tal Malware sumiu.

O DNS está funcionando, configurei o roteador e coloquei o mais rígido, no caso o 3º.

O Virtual Box eu já conhecia, porém nem passou pela cabeça essa questão de criar uma máquina para pesquisas em sites perigosos. Sou um tanto quanto curioso e entro em muitos sites afim de pesquisa e aprendizado. Penso em instalar o Lubuntu, meu pc tem 4 gigas de ram e um i5, para ele rodar liso, não cheguei a testa-lo ainda.

Muito obrigado pela ajuda, você já me ajudou muitas vezes, tenho uma imensa gratidão por você.  ;)


Tota

Citação de: Rafael Favero online 06 de Junho de 2016, 14:55
O Virtual Box eu já conhecia, porém nem passou pela cabeça essa questão de criar uma máquina para pesquisas em sites perigosos.

Na minha opinião,  a conta de convidado dá solução para isto. Já que ao desligar a máquina, tudo do convidado é apagado.

Bons estudos

Rafael Favero

Grato pela informação Tota, obrigado!

Rafael Favero

Olá novamente, queria acrescentar algo, fiz de novo o scan, e encontrou o mesmo o mesmo malware o JsHeur, porém, tomei as devidas precauções, tenho o adguard para evitar sites com má reputação e bloquear propagandas intrusivas, o  QuickJS e ainda o DNS seguro, penso que talvez seja um falso positivo já que é unnoficial. Não entrei em nada demais, até agora tenho o Lubuntu na Virtual Box, acho muito estranho haver novamente essa detecção sem eu ao menos entrar em sites perigosos. Vou deixar de lado isso, até antes em outro scan detectou um trojan no filtro do adguard, mas foi removido.

E não,  eu não saio clicando por tudo que aparece, tenho bom censo para não entrar em furadas. Vou deixar o tal JsHeur ai, espero que seja um falso positivo, caso alguma dia eu descubra o que seja eu informarei no tópico.

druidaobelix

#8
Citarfiz de novo o scan, e encontrou o mesmo o mesmo malware o JsHeur

Se bem lembro você está usando o Clamav, não sei dizer se ele possui um sistema automático de informação (feedback) em relação ao que encontra, se possível pesquise à respeito, e caso não tenha informe diretamente ao Clamav sobre a ocorrência, é sempre uma forma de contribuir.

Ainda, se conseguir detectar o específico arquivo e quiser disponibilizá-lo por qualquer link de compartilhamento, avise que eu pego o tal suposto malware lá. Nesse caso é usual compactar o próprio (rar, zip, gz, como queira), para que eventual antivirus do servidor de compartilhamento não bloqueie o arquivo.

E só lembrando, não basta o QuickJs instalado, ele serve para desabilitar rapidamente o Java Script, então desabilite e navegue com o JS desabilitado, só habilitando onde efetivamente precisar dele e for confiável.


www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

druidaobelix

#9
Só complementando, /Rafael Favero/, agora que já tem quase dois meses que você está no Linux, já aprendeu alguma coisa, já aprendeu a melhorar a segurança do seu roteador, do navegador e do sistema em geral, enfim, nesse meio tempo já incorporou conhecimento útil quanto à segurança geral, é muito difícil dar uma zerada em tudo e começar de novo?

Digo isso porque quando se inicia no sistema operacional é muito comum e mais que normal ir se atrapalhando aqui e ali, faz um coisa errada, conserta, aprende, enfim, esse é mesmo o processo normal de aprender, da tal curva de aprendizado, onde vai se aumentando progressivamente o conhecimento. Esse é mesmo um momento de experimentação, de tentativas, de erros e acertos, pois é assim que de fato se aprende.

Então chega um certo momento que o melhor a fazer é dar uma zerada em tudo e começar de novo, já agora alicerçado nos novos conhecimentos, montado de forma mais fácil nos novos conhecimentos sua nova e completa instalação iniciará melhor que aquela que começou lá atrás. Até sei que você já fez isso, mas não seria o momento de fazer de novo?

Normalmente o típico usuário Linux não reinstala sistema, ele conserta, mas é claro que isso não se aplica a quem está aprendendo, que aí é mesmo instalar, desinstalar, acertar, errar e ir acumulando experiência.

Acho que se for possível fazer um reinstalação completa do seu sistema, já agora com o seu roteador melhor e bem protegido, a instalação bem feitinha com todos os dispositivos de segurança bem planejados e executados, porque você já aprendeu a fazer nesses quase dois meses de uso, isso vai te dar uma tranquilidade adicional.

Veja que nem é difícil reinstalar inteiramente o Firefox, mas acho que nessa sua particular situação de aprendizado o melhor é ser mais radical e reinstalar o sistema inteiro, agora com mais qualidade.

É apenas uma sugestão, pense nisso!  :D

www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Rafael Favero

#10
Sim, quando possível farei isso.

ADEMIR01

Rafael ...,

Será que não é um " falso positivo "??? Escrevo isto devido a ter encontrado 16 vírus em minha máquina antes de instalar o " Clamav ", sendo que 15 foram deletados mas 1 persistiu, então resolvi fazer um teste, copiei o "arquivo infectado " para o meu pendrive e testei-o  no Windows usando para isto o AVAST e um Antimaware para verificá-lo e nada de vírus, voltei então para o Ubuntu e através do Clamav ( Análise ) enviei o mesmo para verificação ... Conclusão, acredito ter sido um falso positivo ... É isto ...

Ademir

Rafael Favero

#12
Penso também que seja um falso positivo, pois, instalei uma extensão no navegador para limpa-lo, limpei o navegador, abri ele, não digitei nada, fechei-o e passei o scan, não houve nenhuma detecção, depois, entrei no facebook, no fórum aqui, em um outro e em um site de frases, aparentemente normal. Passei o scan de novo e houve a detecção, sendo que não entrei em nenhum site estranho, antes de reinstalar o Ubuntu frequentava os mesmos sites e nunca houve essa tal detecção.

Ainda não entendo o motivo para esse tal malware sendo que frequentei apenas 4 sites diferentes, os quais frequentei outras vezes e nunca tive problema. Apesar de eu não gostar muito de reinstalar o Ubuntu, farei isso para acabar de vez com essa detecção, só espero que não volte a encontra-la novamente.

Rafael Favero

#13
Reinstalei o Ubuntu, felizmente o problema não persiste (e  espero que não volte), agora não tenho as atualizações não oficiais, pois podem se enganar indicando falsos positivos, não querendo desmerece-las é claro. Além disso no navegador instalei a extensão NoScript, para assim aumentar a segurança. Ainda possuo o DNS seguro e logo usarei o Virtual Box para navegar sem tanta preocupação. Caso o problema volte informarei, mas tomarei cuidado para não acontecer novamente. Não usarei as definições unnoficial, apenas as oficiais.

Agradeço pela ajuda de todos!