it-swarm.com.de

ClamAV PUA.Win32.Packer.PrivateExeProte-7

Ich habe ClamAV auf meinem System ausgeführt und es wurden zwei Erkennungen gemeldet.

Es wurde berichtet PUA.Win32.Packer.PrivateExeProte-7 in:

/usr/lib/mono/4.0/mscorlib.dll
/urs/lib/mono/4.5/mscorlib.dll

Es heißt Maßnahme ergriffen: Keine , und ich habe grundsätzlich die Möglichkeit, diese Dateien in Quarantäne zu stellen. Ist das ein Virus, ein Trojaner oder eine andere Malware? Ich sehe, dass bei meiner Installation von Ubuntu 14.04 Mono installiert ist (ich gehe davon aus, dass es bei der Installation des Systems standardmäßig installiert war, da ich mich nicht daran erinnere, es selbst installiert zu haben). Wenn dies wirklich Malware ist und ich diese Dateien unter Quarantäne stelle und entferne, würde ich dann irgendetwas kaputt machen?

Ich habe auch Windows 7 auf meinem Ubuntu 14.04 System installiert und verwende ClamAV , um das System vor einer möglichen Infektion zu schützen und weil ich mögliche Malware nicht an jemanden weitergeben möchte, der ein Windows-Betriebssystem verwendet. Ich habe Wine nicht installiert.

Ich habe versucht, in verschiedenen Foren online zu suchen, aber ich finde widersprüchliche Berichte und Meinungen dazu. Deshalb stelle ich diese Frage hier.

3
SineLaboreNihil

Die PUA bedeutet "Potential Unerwünschte Anwendung" und ist daher ohnehin eine Warnung mit relativ niedriger Priorität.

Der Rest der Definition deutet darauf hin, dass ein Windows-Binärformat gefunden wurde, das so komprimiert ist, dass Antivirenanwendungen Schwierigkeiten bei der Introspektion haben. Das macht es für Malware-Autoren von unschätzbarem Wert, da sie die Signatur ihrer Malware ständig ändern können, um der Erkennung zu entgehen.

In diesem Fall denke ich, dass es nur symptomatisch dafür ist, wie Mono aufgebaut ist und ClamAV ist übermäßig verdächtig . Ich habe eine Kopie von meiner mscorelib.dlls über VirusTotal ausgeführt und sie ist sauber zurückgekehrt. Ich schlage vor, Sie tun dasselbe.


Wenn dies wirklich Malware ist und ich diese Dateien unter Quarantäne stelle und entferne, würde ich dann irgendetwas kaputt machen?

Es würde Mono kaputt machen, aber wenn es infiziert ist, wäre das nicht schrecklich. Sie möchten nur die Mono-Pakete neu installieren.

5
Oli

PUA.Win32.Packer und alle seine Varianten (und es gibt Trauben) sind aus meiner Sicht alle verdächtig. Ich habe gerade einen vollständigen Scan meines Windows 8.1-Laufwerks in Linux Mint 17.1 Cinnamon 64-Bit-Betriebssystem mit ClamTK (ClamAV GUI) durchgeführt und fast 1000 Instanzen davon in fast sehr vielen Dateitypen gefunden. Ich verstehe, dass die meisten meinen, dass dieser PUA tatsächlich ein falsches Positiv ist, was ich verstehen kann. Aber wenn Sie dieses "falsch positive" in fast jedem Dateityp finden, den Sie sich vorstellen können, müssen Sie wirklich misstrauischer sein, als ich es sagen würde. Ich kann verstehen, dass es möglicherweise in Dll, EXE und einigen anderen Dateien liegt, aber warum ist es in PDF oder MP4 und so vielen anderen Dateitypen von persönlich erstellten Dateien?

Der Grund, warum ich dieses Laufwerk gescannt habe, ist, dass Teile von Fenstern selbst beschädigt wurden und sich selbst kurze Zeit später beschädigen, obwohl ich sie mithilfe der Windows-Aktualisierung behoben habe. Ich bin seit über 25 Jahren Computertechniker und habe im Laufe der Jahre so ziemlich alles erlebt, was man sich vorstellen kann. Anfang letzten Jahres wurde mein Heimsystem infiziert, obwohl jemand hier gefälschte E-Mails herunterlud und glaubte, dass einige Pop-ups legitim waren und es ihnen ermöglichten, auf vernetzten Computern zu laufen. Dies war der Beginn einer anhaltenden Schlacht, die immer noch nicht entschieden ist.

Es ist darauf gekommen. Es gibt so viele infizierte Computer/Server und so viel Software, die Sicherheitslücken aufweisen kann, dass fast jeder Computer bis zu einem gewissen Grad gefährdet ist. Abhängig vom Schweregrad der Malware glauben die meisten, dass ihre AV-Software funktioniert und ihr Computer in Ordnung ist, es sei denn, es werden sehr schlechte oder fehlerhafte Indikatoren angezeigt. Nun, ich hasse es, es zu sagen, aber sie sind nicht in Ordnung, nicht im wahrsten Sinne des Wortes. Eines der allerersten Dinge, die mit so gut wie jeder guten Malware passieren, ist die Gefährdung von Computerabwehr- und Antivirentools. Jede Software kann kompromittiert werden, es kommt nur darauf an, unter welcher Sicherheitsstufe die Malware arbeitet. Windows ist aufgrund seiner offenen Struktur kaum mehr zu verteidigen, wenn die Sicherheit auf Administratorebene erreicht ist. Es gibt keine "geschützte Dateistruktur" und sie kann nicht verletzt und übernommen werden - ich mache das die ganze Zeit, wenn ich selbstgeschützte infizierte Dateien mit Gewalt entfernen muss.

Das alles nicht, um Ihnen Angst zu machen, sondern um Ihnen mitzuteilen, dass Sie höchstwahrscheinlich einen infizierten Computer verwenden - ich weiß, dass ich es bin. Das Beste, was ich sagen kann, ist, niemals Online-Banking zu betreiben. Nehmen Sie nicht an, dass Ihre Eingabe in irgendeiner Weise privat ist. Stellen Sie sicher, dass Sie nur Kreditkarten verwenden, die vollständig gegen Online-Betrug oder auf andere Weise geschützt sind. Übrigens, vor weniger als 5 Monaten wurde meine Kreditkarte innerhalb von 2 Wochen auf über 8.000 US-Dollar kompromittiert. Ich habe alles zurückbekommen, aber ich weiß nicht, wie viel Verlust die Kreditkartenunternehmen erleiden werden, bevor sie diese Auszahlungen vollständig ausführen.

Also, nur weil die meisten Leute denken, dass diese PUAs nicht wirklich da sind (was einfach albern ist, sie sind mit Sicherheit da, auch wenn sie nicht böswillig verwendet werden) oder nicht glauben wollen, dass sie "wirklich" schädlich sind, seien Sie nicht zu schnell, um es zu glauben. Sei schlau und versuche so sicher wie möglich zu sein. Sie werden beobachtet - ohne Zweifel von jemandem.

-Rodger

3
Rodger Marjama