ClamAV:PUA.Win.Exploit.CVE_2012_0110 FOUND(/usr/share/mime/mime.cache)
最近システムをスキャンしました(最新バージョンのClamAVを実行しており、定義が最新です):
Sudo clamscan -r --detect-pua --infected --bell /
そして、これは結果のものでした:
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110 FOUND
私はこれまでにこのようなものを見たことがありませんので、これは何ですか、これは心配することは何ですか、私はそれについて何かをする必要がありますか?また、それが見つかった場所の目的は何ですか?
追加情報:
mime.cacheファイルはここからダウンロードできます。 https://www.dropbox.com/s/58sxjv48ye4p6au/mime.cache?dl=
そして、このCVE_2012_0110が何であるかを見つけたようです。これは このページ にリストされている脆弱性の1つです。
VirusTotalでファイルをスキャンしましたが、悪いものを検出した唯一のものは下部のAdditional informationセクションにありましたが、必ずしもすべてが正常であるとは限りませんそのファイルに何かが挿入されたなどと言われた場合、MD5の合計と一致するのではなく、それを検出するのはおそらくよりヒューリスティックです。レポートは次のとおりです。 report
OS情報:
Description: Ubuntu 14.10
Release: 14.10
これはおそらく単なる誤検知です。 /usr/share/mime/mime.cacheは、システム上のすべての既知のMIMEタイプの生成されたファイルです。実行可能ファイルではありません。
ウイルススキャナーは、既知の指紋(ハッシュ)のセットによって悪意のあるソフトウェアを検出します。このモデルは、必然的にいくつかの誤検知につながります。おそらく、既知のWindowsウイルスがLinuxシステムで見つかった指紋と一致する偶然かもしれません。おそらく、指紋は、Linuxシステムで必然的に一致する特定のMIMEタイプパターンと一致するためです...
今のところ、私はそれについて心配するつもりはありませんが、ClamAVチームに連絡して、これが既にそれらの既知の問題であるかどうかを尋ねてください。
また、最新のClamAVフィンガープリント(freshclam)で最新の状態を維持してください。
Linuxでも同じ(キャッシュPUA.Win.Exploit.CVE_2012_0110)を使用しました。
そこで、USBまたはDISKの点滴注入から起動し、Linuxのミントアウトを試すために、(/usr/share/mime/mime.cache)でファイルを探し、USBスティックにコピーしました。インストール済みのLinuxミントに再度ログオンし、システム上のUSBミントをUSBスティックにコピーしたものに置き換えました(ウイルスとして検出されなくなりました)
Ubuntu 15.10の新規インストールがあり、Webの閲覧を開始するとすぐに表示されました。これまで特定のウェブサイトにしかアクセスしませんでした。ファイル内を見てみると、それは私のコンピューター上のさまざまなプログラムのコレクションのように見えます。 /usr/share/mime/mime.cacheのアクセス許可を400に変更しました。また、次のコマンドを使用して、rootとしてファイルを空にしました。
echo " " > /usr/share/mime/mime.cache
許可を変更するためのコマンド:
chmod 400 /usr/share/mime/mime.cache
また、ClamAVは〜/ .cache/mozilla/firefox/[string] .default/cache2/entries /ディレクトリでウイルスを検出する傾向があるため、アクセス許可を400に変更し、そのディレクトリには何もダウンロードされなくなりました。 [文字列]は、ユーザープロファイルごとに異なるように見える約10文字の英数字のように見えます。 Firefoxは引き続き機能するため、これは簡単な回避策でした。 Firefox、Chrome、SafariのMacとWindows(異なるディレクトリパス)で同じことをしましたが、ブラウザは機能し、エントリはダウンロードされません。