Clamscan: se encontraron archivos infectados

1

De vez en cuando, realizo una exploración con clamscan . Estoy en Archlinux. La base de datos de Clamscan se actualiza antes de cada análisis.

Hoy clasmscan reportó 19 archivos infectados:

./.cache/mozilla/firefox/qyq0onej.default/cache2/entries/3BCF117A4E950F91D6EB45E1DEDD93D42A0F4084: Sanesecurity.Malware.20387.WebHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/OfflineCache/D/3/714AAA0A2A5929-0: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/OfflineCache/3/F/14B2B08E604FDC-0: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/OfflineCache/C/3/725565E485B3A3-0: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/cache2/entries/E760C5B03F1F86762A3BA2E7263CE8952C042185: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/cache2/entries/047AD2F458E28F8B0EDD2895F5AC550333CEF02D: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/OfflineCache/D/3/714AAA0A2A5929-1: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/OfflineCache/3/F/14B2B08E604FDC-1: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/OfflineCache/C/3/725565E485B3A3-1: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/cache2/entries/E760C5B03F1F86762A3BA2E7263CE8952C042185: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/cache2/entries/75C1F044F894D98DA12F8CA2CFEB25A27917E6A2: Sanesecurity.Malware.26345.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/cache2/entries/7AA49C7707663F1786152490B004C44E7CAAABC4: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.mozilla/firefox/6vjpuub7.default/extensions/[email protected]: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.mozilla/firefox/2vye4yjm.test/extensions/[email protected]: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.config/Franz/Partitions/whatsapp_9a7f0132-4d66-7676-1018-a78cd6887824/Cache/f_000045: Html.Exploit.CVE_2017_8738-6336184-2 FOUND ./.config/Dagom'App/app.zip: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND ./.wine/drive_c/windows/syswow64/gecko/2.47/wine_gecko/browser/omni.ja: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND ./.wine/drive_c/windows/system32/gecko/2.47/wine_gecko/browser/omni.ja: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND ./.local/share/virtualenvs/cad/lib/python3.6/site-packages/PyQt5/Qt/resources/qtwebengine_devtools_resources.pak: Sanesecurity.Malware.26345.JsHeur.UNOFFICIAL FOUND

Algunos archivos infectados parecen estar en el caché de Firefox (por ejemplo, Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL).

Uno parece estar relacionado con Franz (un cliente para varios servicios de mensajería): Html.Exploit.CVE_2017_8738-6336184-2. Este parece ser un funcionario encontrado.

./.config/Dagom'App/app.zip: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND

Este parece ser un falso positivo.

./.wine/drive_c/windows/syswow64/gecko/2.47/wine_gecko/browser/omni.ja: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND

No sé qué pensar sobre esto.

./.local/share/virtualenvs/cad/lib/python3.6/site-packages/PyQt5/Qt/resources/qtwebengine_devtools_resources.pak: Sanesecurity.Malware.26345.JsHeur.UNOFFICIAL FOUND

Y este parece ser también un falso positivo. Instalé PyQt con pip, para el desarrollo de Python.

No tengo mucha experiencia con clamscan o malware. ¿Podría explicarme cómo debo considerar esta información?

Cuando la coincidencia no es oficial, ¿qué tan relevante es la información? ¿Son estos archivos todos los programas maliciosos? Si uno o varios de ellos lo son, ¿qué debo hacer con ellos?

    
pregunta Rififi 23.09.2017 - 20:53
fuente

1 respuesta

2
  

Cuando la coincidencia no es oficial, ¿qué tan relevante es la información?

Para citar desde Sanesecurity: False Positives :

  

NO OFICIAL significa que la firma no es una firma oficial de ClamAV y, por lo tanto, debe comunicarse con una de las siguientes personas cuando tenga un problema: ...

  

¿Son estos archivos todos los programas maliciosos?

Acerca de Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND y similares, puede leer en Sanesecurity: Foxhole database que estas son firmas muy genéricas con un alto falso tasa positiva, es decir, bloqueará principalmente los archivos JS contenidos en los archivos ZIP, que es un vector de ataque muy común cuando se transporta con correo.

También el *JsHeur* se parece mucho a heurística en lugar de un patrón definido y, por lo tanto, debe esperar una tasa alta de falsos positivos.

Generalmente, cualquier producto antivirus intenta encontrar un equilibrio entre falsos positivos y falsos negativos. Para detectar nuevas variaciones de malware, a menudo se utilizan heurísticas como Javascript dentro de ZIP o un patrón vago definido. Pero estos también tienen una mayor probabilidad de compararse con datos inocentes, es decir, un falso positivo. Por otro lado, confiar solo en firmas que coincidan con un malware bien conocido, pero nada más causará muchos falsos negativos, es decir, un malware no capturado.

    
respondido por el Steffen Ullrich 23.09.2017 - 21:31
fuente

Lea otras preguntas en las etiquetas