web-dev-qa-db-ja.com

ClamAV PUA.Win32.Packer.PrivateExeProte-7

システムでClamAVを実行すると、2つの検出が報告されました。

PUA.Win32.Packer.PrivateExeProte-7を報告しました:

/usr/lib/mono/4.0/mscorlib.dll
/urs/lib/mono/4.5/mscorlib.dll

実行されたアクション:なしと表示され、基本的にこれらのファイルを隔離するオプションがあります。これはウイルス、トロイの木馬、またはその他のマルウェアですか? Ubuntu 14.04のインストールにはMonoがインストールされていることがわかります(システムをインストールしたときに、自分でインストールしたことを覚えていないため、デフォルトでインストールされたと想定します)。これが本当にマルウェアであり、これらのファイルを隔離して削除すると、何かが壊れますか?

また、Windows 7Ubuntu 14.04システムに沿ってインストールし、ClamAVは、システムが感染する可能性を防ぎ、Windows OSを使用する他の誰かにマルウェアを広めたくないためです。 Wineがインストールされていません。

さまざまなフォーラムでオンラインで調べてみましたが、これが何であるかについて矛盾するレポートと意見を見つけたため、ここでこの質問をしています。

3
SineLaboreNihil

PUAは「潜在的に不要なアプリケーション」を意味するため、とにかくかなり低い優先度のアラートです。

定義の残りの部分では、ウイルス対策アプリケーションのイントロスペクションを困難にするような方法で圧縮されたWindowsバイナリ形式が見つかったことを示唆しています。マルウェアの作成者は、マルウェアの署名を変更し続けて検出を回避できるため、非常に貴重です。

この場合、Monoがどのように構築されているか、 ClamAVが過度に疑わしい の兆候にすぎないと思います。 mymsTotallib.dllsをVirusTotal経由で のコピーを実行すると、正常に戻りました。同じことをお勧めします。


これが本当にマルウェアであり、これらのファイルを隔離して削除すると、何かが壊れますか?

モノを壊しますが、感染していてもひどいことにはなりません。 Monoパッケージを再インストールするだけです。

5
Oli

私の見解では、PUA.Win32.Packerとそのすべてのバリアント(およびバンチがあります)はすべて疑わしいです。 ClamTK(ClamAV GUI)を使用して、Linux Mint 17.1 Cinnamon 64ビットOSでWindows 8.1ドライブのフルスキャンを完了したところ、ほぼ1000のファイルタイプでこのインスタンスがほぼ1000個見つかりました。私は、このPUAが実際に誤検知であると感じていることを最もよく理解しています。しかし、想像できるほぼすべてのファイルタイプでこの「誤検出」を見つけた場合、私が言うより疑わしいものにする必要があります。 .dll、.exe、その他いくつかのファイルに含まれている可能性がありますが、なぜ.pdfや.mp4など、個人的に作成された他の多くのファイルタイプに含まれているのでしょうか?

このドライブをスキャンした理由は、ウィンドウの一部が自己破損しているためです。ウィンドウの更新を使用してウィンドウを修正しても、しばらくしてから自己破損します。私は現在25年以上のコンピューター技術者であり、長年にわたって想像できるほぼすべてに出くわしました。昨年の初め、ここで誰かがなりすましメールをダウンロードし、いくつかのポップアップを「信じて」ネットワーク上のコンピューターで実行できるようにしたにもかかわらず、私のホームシステムが感染しました。これは進行中の戦いに変わったものの始まりでしたが、まだ解決されていません。

これが原因です。感染したコンピューター/サーバーは非常に多く、セキュリティ侵害にさらされているソフトウェアが非常に多いため、ほぼすべてのコンピューターがある程度危険にさらされています。マルウェアの重大度に応じて、非常に悪いまたは不安定なインジケータが表示されない限り、ほとんどの人はAVソフトウェアが機能しており、コンピューターが正常であると考えています。まあ、それを言うのは嫌いですが、彼らは大丈夫ではなく、言葉の意味ではありません。優れたマルウェアについて最初に発生することの1つは、コンピューターの防御とウイルス対策ツールの侵害です。どのソフトウェアも侵害される可能性がありますが、マルウェアがどのセキュリティレベルで動作しているかによって異なります。 Windowsはオープンな構造であるため、管理レベルのセキュリティに到達すると、ほとんど防御できなくなります。 「保護されたファイル構造」はなく、侵害されたり乗っ取られたりすることはありません。自己保護された感染ファイルを強制的に削除する必要があるときはいつもそうしています。

これをすべて怖がらせるために言っているわけではありませんが、感染したコンピューターを使用している可能性が最も高いことを通知するためです-私は知っていますだから、私が言える最善のことは、オンラインバンキングを絶対にしないことです。入力した内容が決してプライベートであると想定しないでください。オンラインまたはその他の不正行為から完全に保護されたクレジットカードのみを使用してください。ところで、5か月前の私のクレジットカードは、約2週間で8,000ドルを超えるまでに侵害されました。すべてを取り戻しましたが、クレジットカード会社がこれらの支払いを完了する前にどれだけの損失を被るかはわかりません。

そのため、ほとんどの人がこれらのPUAは実際には存在しない(単に愚かであり、悪意を持って使用されていない場合でも確実に存在する)と考えているか、「本当に」有害であるとは思わないからです。信じられないほど速い。賢く、できる限り安全になるようにしてください。あなたは見られている-疑いもなく、誰かによって。

-ロジャー

3
Rodger Marjama