Clamcsan нашел кучу PUA

Автор B@F, 22 Июня 2012, 08:45

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

B@F

Всем привет.

Решил я установить для теста clamav+clamtk. Решил , т.к. на компе стоит вайн а значит вирусы в нем будут. Но я не ожидал такого результата:

/home/baf/Backup/baf/Внешняя/SPUTNIK/sputnikorcl.exe: PUA.Win32.Packer.Vip FOUND
/home/baf/Backup/baf/Внешняя/SPUTNIK/midas.dll: PUA.Win32.Packer.BorlandCpp-9 FOUND
/home/baf/Backup/baf/Внешняя/Xmanager v4.0.0181/xme40.exe: Worm.Tenga.A FOUND
/home/baf/Backup/baf/Внешняя/Xmanager v4.0.0181/keygen.exe: PUA.Win32.Packer.PecompactHeuris FOUND
/home/baf/Backup/baf/.opera/cache/g_005C/opr02CYZ.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_001D/opr026SR.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0061/opr02DH2.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0027/opr01V4O.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0027/opr01V4P.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0074/opr02FEJ.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0066/opr02DYL.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0066/opr02DXM.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_003B/opr029RZ.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_004E/opr02BM4.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_004E/opr02BKT.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0048/opr02AZO.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_006E/opr02261.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0005/opr024F3.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0005/opr024EY.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0002/opr0241U.tmp: PUA.JS.Obfus-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_003C/opr029U5.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_007B/opr023DE.tmp: PUA.Phishing.Bank FOUND
/home/baf/Backup/baf/.opera/cache/g_006F/opr0226Y.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/Temp/ADM.part1.rar: PUA.Win32.Packer.MsVisualCpp-2 FOUND
/home/baf/Backup/baf/Temp/OV_R51.exe: PUA.Win32.Packer.WiseInstallerStub FOUND
/home/baf/Backup/baf/cxoffice/share/wine/gecko/wine_gecko-1.0.0-CX1-x86.cab: PUA.Win32.Packer.MingwGcc-2 FOUND
/home/baf/Backup/baf/cxoffice/share/crossover/bottle_data/netscape.exe: PUA.Win32.Packer.InstallerVise FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/haspdinst.exe: PUA.Win32.Packer.HardlockDongle-1 FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/lctxdm.exe: PUA.Win32.Packer.BorlandDelphi-14 FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/lctsec.dll: PUA.Win32.Packer.HaspHlProtectio-1 FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/hasp_windows.dll: PUA.Win32.Packer.HardlockDongle-1 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-006E-0419-0000-0000000FF1CE}-C/dwdcw20.dll: PUA.Win32.Packer.SetupExeSection FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0011-0000-0000-0000000FF1CE}-C/Office64WW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0011-0000-0000-0000000FF1CE}-C/ProPlusWW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0011-0000-0000-0000000FF1CE}-C/OWOW64WW.cab: PUA.Win32.Packer.SetupExeSection FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-002C-0419-0000-0000000FF1CE}-C/Proof.de/Proof.cab: PUA.Win32.Packer.Pseudosigner-95 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0051-0000-0000-0000000FF1CE}-C/VisProWW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0051-0000-0000-0000000FF1CE}-C/Office64WW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0051-0000-0000-0000000FF1CE}-C/OWOW64WW.cab: PUA.Win32.Packer.SetupExeSection FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/4ebd.msi: PUA.Win32.Packer.Msvcpp FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/ecf5.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/13e8.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/7815.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/custsat.dll: PUA.Win32.Packer.Msvcpp FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/ieframe.dll.mui: PUA.Win32.Packer.Upolyx-13 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/browseui.dll: PUA.Win32.Packer.MsVisualCpp-2 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/icuuc30.dll: PUA.Win32.Packer.Upolyx-13 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/Regsvr32.exe: PUA.Win32.Packer.Installshield-2 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/shdocvw.dll: PUA.Win32.Packer.MsVisualCpp-2 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/xmllite.dll: PUA.Win32.Packer.Msvcpp FOUND

В общей сложности их около штуки. Читая в нете нашел тока одну тему на форуме по этому делу. Там сказано, непонятно кем, что это не вирус а потенциальная угроза заражения. Но черт возьми клам хочет это все удалить. А там есть и нужные файлики, например word.exe.(Нужен для специфичных прог). Немного радует тот факт, что нашлись тока PUA, но стоит ли этому радоваться?

Есть у кого мысли по этому поводу?

Поправьте, если я ошибаюсь, буду тока рад.

НаРазДва

Цитата: B@F от 22 Июня 2012, 08:45Всем привет.

Есть у кого мысли по этому поводу?



Привет. Однозначно вайн дыра в безопасности линукса и запускать под ним виндовые браузеры точно не надо.




Yoda

Опера явно не виндовая запускалась.

TLemur

Это не вирусы, а файлы, запакованные для уменьшения размера.

B@F

Конечно не виндовая. Да с оперой все понятно, натянула с нета всякого, антивируса монитора то нет, вот и лежит в кеше у браузера всякая какашка. Другое дело все остальное.

Файлы для уменьшения размера??? И что в них тогда могло не понравится антивирусу вдруг? Странно.

Кстате на счет вайна. Я стараюсь использовать инсталяторы кроссовера, они же офф сайта и не должно быть в них вирусни.

Поправьте, если я ошибаюсь, буду тока рад.

sotrud_nik

Цитата: B@F от 22 Июня 2012, 17:00Файлы для уменьшения размера??? И что в них тогда могло не понравится антивирусу вдруг? Странно.

А тем что упаковщик сжимает EXE-файл, и сигнатуры вируса, встроившегося в EXE-файл найти труднее,
потому что для этого надо такой сжатый EXE-файл распаковывать.
Вирусописатели раньше так часто делали, чтобы вирус скрыть.

НаРазДва

Цитата: sotrud_nik от 22 Июня 2012, 19:39А тем что упаковщик сжимает EXE-файл, и сигнатуры вируса, встроившегося в EXE-файл найти труднее,
потому что для этого надо такой сжатый EXE-файл распаковывать.
Вирусописатели раньше так часто делали, чтобы вирус скрыть.

Современный антивирус должен уметь распаковывать сжатый екзешник и проверить его сигнатуру
=============================================================================

относительно клама:


PUA - Possibly Unwanted Applications [возможные нежелательные приложения]

ClamAV supports the detection of so called PUAs. At the moment the
following categories are available:
[ClamAV поддерживает обнаружение так называемых PUS'сов. На
данный момент доступные категории приведены ниже:]

Packed [Запакован]

This is a detection for files that use some kind of runtime packer. A
runtime packer can be used to reduce the size of executable files
without the need for an external unpacker. While this can't be
considered malicious in general, runtime packers are widely used with
malicious files since they can prevent a already known malware from
detection by an Antivirus product.
[Этот тип обнаружения для файлов, которые используют некий упаковщик
реального времени. Упаковщики реального времени могут
быть использованы для уменьшения размера исполняемого файла, без
необходимости использования внешних распаковщиков. Хотя в общем
это не является опасным, но многие упаковщики реального времени
используются вредоносными файлами, поскольку они могут
препятствовать антивирусным продуктам в обнаружении уже известных
вредоносных программ]

В общем, опасны файлы или нет, решать тебе. Антивирус всего лишь
тебе указывает на них, как на подозрительные.

Перевод вольный

B@F

Цитата: НаРазДва от 24 Июня 2012, 01:36Современный антивирус должен уметь распаковывать сжатый екзешник и проверить его сигнатуру
=============================================================================

относительно клама:


PUA - Possibly Unwanted Applications [возможные нежелательные приложения]

ClamAV supports the detection of so called PUAs. At the moment the
following categories are available:
[ClamAV поддерживает обнаружение так называемых PUS'сов. На
данный момент доступные категории приведены ниже:]

Packed [Запакован]

This is a detection for files that use some kind of runtime packer. A
runtime packer can be used to reduce the size of executable files
without the need for an external unpacker. While this can't be
considered malicious in general, runtime packers are widely used with
malicious files since they can prevent a already known malware from
detection by an Antivirus product.
[Этот тип обнаружения для файлов, которые используют некий упаковщик
реального времени. Упаковщики реального времени могут
быть использованы для уменьшения размера исполняемого файла, без
необходимости использования внешних распаковщиков. Хотя в общем
это не является опасным, но многие упаковщики реального времени
используются вредоносными файлами, поскольку они могут
препятствовать антивирусным продуктам в обнаружении уже известных
вредоносных программ]

В общем, опасны файлы или нет, решать тебе. Антивирус всего лишь
тебе указывает на них, как на подозрительные.

Перевод вольный

Ясно. Получается он указал на почти все файлы винды, как потенциально опасные. Короче, я отключаю эту функцию, пусть тока вирусы ищет, а не подозрительные файлы.


Поправьте, если я ошибаюсь, буду тока рад.

Александр Курсаков

Чтобы избавиться от PUA в браузере (у вас стоит Опера), очистите кэш браузера.
Лучше знание, нежели отборное золото, потому что мудрость лучше жемчуга и ничто из желаемого не сравнится с нею. Соломон.