Clamcsan нашел кучу PUA

[B@F]

Всем привет.

Решил я установить для теста clamav+clamtk. Решил , т.к. на компе стоит вайн а значит вирусы в нем будут. Но я не ожидал такого результата:

Код [Выделить] Expand

/home/baf/Backup/baf/Внешняя/SPUTNIK/sputnikorcl.exe: PUA.Win32.Packer.Vip FOUND
/home/baf/Backup/baf/Внешняя/SPUTNIK/midas.dll: PUA.Win32.Packer.BorlandCpp-9 FOUND
/home/baf/Backup/baf/Внешняя/Xmanager v4.0.0181/xme40.exe: Worm.Tenga.A FOUND
/home/baf/Backup/baf/Внешняя/Xmanager v4.0.0181/keygen.exe: PUA.Win32.Packer.PecompactHeuris FOUND
/home/baf/Backup/baf/.opera/cache/g_005C/opr02CYZ.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_001D/opr026SR.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0061/opr02DH2.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0027/opr01V4O.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0027/opr01V4P.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0074/opr02FEJ.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0066/opr02DYL.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0066/opr02DXM.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_003B/opr029RZ.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_004E/opr02BM4.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_004E/opr02BKT.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0048/opr02AZO.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_006E/opr02261.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_0005/opr024F3.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0005/opr024EY.tmp: PUA.Script.Packed-1 FOUND
/home/baf/Backup/baf/.opera/cache/g_0002/opr0241U.tmp: PUA.JS.Obfus-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_003C/opr029U5.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/.opera/cache/g_007B/opr023DE.tmp: PUA.Phishing.Bank FOUND
/home/baf/Backup/baf/.opera/cache/g_006F/opr0226Y.tmp: PUA.Script.Packed-2 FOUND
/home/baf/Backup/baf/Temp/ADM.part1.rar: PUA.Win32.Packer.MsVisualCpp-2 FOUND
/home/baf/Backup/baf/Temp/OV_R51.exe: PUA.Win32.Packer.WiseInstallerStub FOUND
/home/baf/Backup/baf/cxoffice/share/wine/gecko/wine_gecko-1.0.0-CX1-x86.cab: PUA.Win32.Packer.MingwGcc-2 FOUND
/home/baf/Backup/baf/cxoffice/share/crossover/bottle_data/netscape.exe: PUA.Win32.Packer.InstallerVise FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/haspdinst.exe: PUA.Win32.Packer.HardlockDongle-1 FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/lctxdm.exe: PUA.Win32.Packer.BorlandDelphi-14 FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/lctsec.dll: PUA.Win32.Packer.HaspHlProtectio-1 FOUND
/home/baf/Backup/baf/Progi/LCT-XDM 72.14/hasp_windows.dll: PUA.Win32.Packer.HardlockDongle-1 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-006E-0419-0000-0000000FF1CE}-C/dwdcw20.dll: PUA.Win32.Packer.SetupExeSection FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0011-0000-0000-0000000FF1CE}-C/Office64WW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0011-0000-0000-0000000FF1CE}-C/ProPlusWW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0011-0000-0000-0000000FF1CE}-C/OWOW64WW.cab: PUA.Win32.Packer.SetupExeSection FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-002C-0419-0000-0000000FF1CE}-C/Proof.de/Proof.cab: PUA.Win32.Packer.Pseudosigner-95 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0051-0000-0000-0000000FF1CE}-C/VisProWW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0051-0000-0000-0000000FF1CE}-C/Office64WW.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/MSOCache/All Users/{90120000-0051-0000-0000-0000000FF1CE}-C/OWOW64WW.cab: PUA.Win32.Packer.SetupExeSection FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/4ebd.msi: PUA.Win32.Packer.Msvcpp FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/ecf5.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/13e8.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/Installer/7815.msi: PUA.Win32.Packer.MsVisualCpp-3 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/custsat.dll: PUA.Win32.Packer.Msvcpp FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/ieframe.dll.mui: PUA.Win32.Packer.Upolyx-13 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/browseui.dll: PUA.Win32.Packer.MsVisualCpp-2 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/icuuc30.dll: PUA.Win32.Packer.Upolyx-13 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/Regsvr32.exe: PUA.Win32.Packer.Installshield-2 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/shdocvw.dll: PUA.Win32.Packer.MsVisualCpp-2 FOUND
/home/baf/Backup/baf/.cxoffice/winxp/drive_c/windows/system32/xmllite.dll: PUA.Win32.Packer.Msvcpp FOUND
В общей сложности их около штуки. Читая в нете нашел тока одну тему на форуме по этому делу. Там сказано, непонятно кем, что это не вирус а потенциальная угроза заражения. Но черт возьми клам хочет это все удалить. А там есть и нужные файлики, например word.exe.(Нужен для специфичных прог). Немного радует тот факт, что нашлись тока PUA, но стоит ли этому радоваться?

Есть у кого мысли по этому поводу?

[НаРазДва]

Всем привет.

Есть у кого мысли по этому поводу?

Привет. Однозначно вайн дыра в безопасности линукса и запускать под ним виндовые браузеры точно не надо.

[Yoda]

Опера явно не виндовая запускалась.

[TLemur]

Это не вирусы, а файлы, запакованные для уменьшения размера.

[B@F]

Конечно не виндовая. Да с оперой все понятно, натянула с нета всякого, антивируса монитора то нет, вот и лежит в кеше у браузера всякая какашка. Другое дело все остальное.

Файлы для уменьшения размера??? И что в них тогда могло не понравится антивирусу вдруг? Странно.

Кстате на счет вайна. Я стараюсь использовать инсталяторы кроссовера, они же офф сайта и не должно быть в них вирусни.

[sotrud_nik]

Файлы для уменьшения размера??? И что в них тогда могло не понравится антивирусу вдруг? Странно.

А тем что упаковщик сжимает EXE-файл, и сигнатуры вируса, встроившегося в EXE-файл найти труднее,
потому что для этого надо такой сжатый EXE-файл распаковывать.
Вирусописатели раньше так часто делали, чтобы вирус скрыть.

[НаРазДва]

А тем что упаковщик сжимает EXE-файл, и сигнатуры вируса, встроившегося в EXE-файл найти труднее,
потому что для этого надо такой сжатый EXE-файл распаковывать.
Вирусописатели раньше так часто делали, чтобы вирус скрыть.

Современный антивирус должен уметь распаковывать сжатый екзешник и проверить его сигнатуру
=============================================================================

относительно клама:


PUA - Possibly Unwanted Applications [возможные нежелательные приложения]

ClamAV supports the detection of so called PUAs. At the moment the
following categories are available:
[ClamAV поддерживает обнаружение так называемых PUS'сов. На
данный момент доступные категории приведены ниже:]

Packed [Запакован]

This is a detection for files that use some kind of runtime packer. A
runtime packer can be used to reduce the size of executable files
without the need for an external unpacker. While this can't be
considered malicious in general, runtime packers are widely used with
malicious files since they can prevent a already known malware from
detection by an Antivirus product.
[Этот тип обнаружения для файлов, которые используют некий упаковщик
реального времени. Упаковщики реального времени могут
быть использованы для уменьшения размера исполняемого файла, без
необходимости использования внешних распаковщиков. Хотя в общем
это не является опасным, но многие упаковщики реального времени
используются вредоносными файлами, поскольку они могут
препятствовать антивирусным продуктам в обнаружении уже известных
вредоносных программ]

В общем, опасны файлы или нет, решать тебе. Антивирус всего лишь
тебе указывает на них, как на подозрительные.

Перевод вольный

[B@F]

Современный антивирус должен уметь распаковывать сжатый екзешник и проверить его сигнатуру
=============================================================================

относительно клама:


PUA - Possibly Unwanted Applications [возможные нежелательные приложения]

ClamAV supports the detection of so called PUAs. At the moment the
following categories are available:
[ClamAV поддерживает обнаружение так называемых PUS'сов. На
данный момент доступные категории приведены ниже:]

Packed [Запакован]

This is a detection for files that use some kind of runtime packer. A
runtime packer can be used to reduce the size of executable files
without the need for an external unpacker. While this can't be
considered malicious in general, runtime packers are widely used with
malicious files since they can prevent a already known malware from
detection by an Antivirus product.
[Этот тип обнаружения для файлов, которые используют некий упаковщик
реального времени. Упаковщики реального времени могут
быть использованы для уменьшения размера исполняемого файла, без
необходимости использования внешних распаковщиков. Хотя в общем
это не является опасным, но многие упаковщики реального времени
используются вредоносными файлами, поскольку они могут
препятствовать антивирусным продуктам в обнаружении уже известных
вредоносных программ]

В общем, опасны файлы или нет, решать тебе. Антивирус всего лишь
тебе указывает на них, как на подозрительные.

Перевод вольный

Ясно. Получается он указал на почти все файлы винды, как потенциально опасные. Короче, я отключаю эту функцию, пусть тока вирусы ищет, а не подозрительные файлы.

[Александр Курсаков]

Чтобы избавиться от PUA в браузере (у вас стоит Опера), очистите кэш браузера.