Clamscan: trovati file infetti

1

Di tanto in tanto, eseguo una scansione con clamscan . Sono su Archlinux. Il database Clamscan viene aggiornato prima di ogni scansione.

Oggi clasmscan ha segnalato 19 file infetti:

./.cache/mozilla/firefox/qyq0onej.default/cache2/entries/3BCF117A4E950F91D6EB45E1DEDD93D42A0F4084: Sanesecurity.Malware.20387.WebHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/OfflineCache/D/3/714AAA0A2A5929-0: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/OfflineCache/3/F/14B2B08E604FDC-0: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/OfflineCache/C/3/725565E485B3A3-0: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/cache2/entries/E760C5B03F1F86762A3BA2E7263CE8952C042185: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.cache/mozilla/firefox/6vjpuub7.default/cache2/entries/047AD2F458E28F8B0EDD2895F5AC550333CEF02D: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/OfflineCache/D/3/714AAA0A2A5929-1: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/OfflineCache/3/F/14B2B08E604FDC-1: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/OfflineCache/C/3/725565E485B3A3-1: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/cache2/entries/E760C5B03F1F86762A3BA2E7263CE8952C042185: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/cache2/entries/75C1F044F894D98DA12F8CA2CFEB25A27917E6A2: Sanesecurity.Malware.26345.JsHeur.UNOFFICIAL FOUND ./.cache/mozilla/firefox/2vye4yjm.test/cache2/entries/7AA49C7707663F1786152490B004C44E7CAAABC4: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.mozilla/firefox/6vjpuub7.default/extensions/[email protected]: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.mozilla/firefox/2vye4yjm.test/extensions/[email protected]: PhishTank.Phishing.4401799.UNOFFICIAL FOUND ./.config/Franz/Partitions/whatsapp_9a7f0132-4d66-7676-1018-a78cd6887824/Cache/f_000045: Html.Exploit.CVE_2017_8738-6336184-2 FOUND ./.config/Dagom'App/app.zip: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND ./.wine/drive_c/windows/syswow64/gecko/2.47/wine_gecko/browser/omni.ja: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND ./.wine/drive_c/windows/system32/gecko/2.47/wine_gecko/browser/omni.ja: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND ./.local/share/virtualenvs/cad/lib/python3.6/site-packages/PyQt5/Qt/resources/qtwebengine_devtools_resources.pak: Sanesecurity.Malware.26345.JsHeur.UNOFFICIAL FOUND

Alcuni file infetti sembrano essere nella cache di firefox (es: Sanesecurity.Malware.26368.JsHeur.UNOFFICIAL).

Uno sembra essere correlato a Franz (un client per diversi servizi di messaggistica): Html.Exploit.CVE_2017_8738-6336184-2. Questo sembra essere un ufficiale trovato.

./.config/Dagom'App/app.zip: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND

Questo sembra essere un falso positivo.

./.wine/drive_c/windows/syswow64/gecko/2.47/wine_gecko/browser/omni.ja: Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND

Non so cosa pensare di questo.

./.local/share/virtualenvs/cad/lib/python3.6/site-packages/PyQt5/Qt/resources/qtwebengine_devtools_resources.pak: Sanesecurity.Malware.26345.JsHeur.UNOFFICIAL FOUND

E anche questo sembra essere un falso positivo. Ho installato PyQt con pip, per lo sviluppo di python.

Non ho molta esperienza con clamscan o malware. Potresti spiegarmi come dovrei considerare queste informazioni?

Quando la partita non è ufficiale, quanto è rilevante l'informazione? Questi file sono tutti malware? Se uno o più di essi sono, cosa dovrei fare con loro?

    
posta Rififi 23.09.2017 - 20:53
fonte

1 risposta

2

When the match is unofficial, how relevant is the information ?

Per citare Sanesecurity: falsi positivi :

UNOFFICIAL means that the signature is not an Official ClamAV signature and therefore you need to contact one of the following people when you have a problem:...

Are these files all malware?

Informazioni su Sanesecurity.Foxhole.Zip_Js_Js.UNOFFICIAL FOUND e simili puoi leggere su Sanesecurity: database Foxhole che si tratta di firme molto generiche con un falso alto tasso positivo, cioè bloccherà principalmente i file JS contenuti nei file ZIP che è un vettore di attacco molto comune quando trasportato con posta.

Anche il *JsHeur* suona molto come l'euristica invece del pattern definito e quindi dovresti aspettarti anche un alto tasso di falsi positivi.

Generalmente qualsiasi prodotto antivirus cerca di trovare un equilibrio tra falsi positivi e falsi negativi. Per cogliere nuove varianti di malware vengono spesso utilizzate euristiche come JavaScript all'interno di ZIP o un modello definito vago. Ma questi hanno anche una maggiore possibilità di confronto con dati innocenti, cioè un falso positivo. D'altra parte fare affidamento solo su firme che corrispondono a malware ben noti ma nient'altro causerà molti falsi negativi, cioè il malware non viene catturato.

    
risposta data 23.09.2017 - 21:31
fonte

Leggi altre domande sui tag