locale.exe e trojans tzset.exe no Cygwin

5

Eu estava atualizando o wget esta manhã e a Symantec me notificou sobre trojans detectados em locale.exe e tzset.exe

Isso significa que minha instalação do cygwin está infectada?

    
por Sinsanator 10.04.2014 / 15:14

4 respostas

4

Este é provavelmente um falso positivo. Trojan.ADH.2 é um nome que a Symantec usa para identificar detectado heuristicamente ameaças "desconhecidas" - ou seja, coisas que não correspondem à assinatura de qualquer ameaça conhecida, mas têm qualidades que tornam a Symantec suspeita. Uma rápida pesquisa na web sugere que os falsos positivos que identificam essa ameaça são bastante comuns. O Perguntas freqüentes do Cygwin também sugere que seu produto em geral tende a criar um software antivírus.

A O thread nos fóruns do Norton contém instruções para restaurar os arquivos da quarentena, excluir os arquivos da verificação futura e enviar amostras deles para os engenheiros da Symantec, para que possam ajustar a heurística para evitar essa classe específica de falsos positivos.

    
por 10.04.2014 / 15:53
2

Eu tive exatamente o mesmo problema depois que atualizei ontem, mas minhas chaves SSH estão bem. É quase definitivamente um falso positivo da Symantec. Infelizmente a Symantec também decidiu --delete-- meus executáveis em vez de colocá-los em quarentena.

Caso você encontre o mesmo problema, é possível reinstalar esses executáveis executando novamente o instalador do Cygwin e reinstalando os pacotes cygwin / coreutils / cygutils.

    
por 10.04.2014 / 18:09
1

Enviei a solicitação de falso positivo para o locale.exe para a Symantec e eles confirmaram meu envio. Eles distribuirão novas definições pelo LiveUpdate, que remove a detecção de locate.exe.

Mas desculpe, eu não tive nenhum problema com tzset.exe, então o status deste ainda é desconhecido ...

    
por 11.04.2014 / 15:06
1

Atualização de julho de 2014: A Symantec usa novamente a heurística Tojan.ADH.2 (obviamente louca) para rotular os últimos col.exe, tzset.exe e locale.exe do Cygwin como vírus (para a quarentena ou exclusão dele). / p>

Portanto, qualquer aprendizado que a Symantec fez no ano passado deu certo.

Eu também os enviei para a Symantec como falsos positivos, eles verificaram (novamente?) que suas ferramentas são maliciosas:

In relation to submission [3576111].

Upon further analysis and investigation we have verified your submission and as such this detection will be removed from our products.

The updated detection will be distributed in the next set of virus definitions, available via LiveUpdate or from our website at ...

    
por 28.07.2014 / 09:20