Devo estar preocupado com uma possível ameaça?

Navegue suas respostas
2

Eu instalei recentemente o Ubuntu 12.10. Eu uso Clamav e tenho escaneado meu sistema regularmente para infecções. Hoje pegou uma ameaça em potencial /usr/lib/ruby/1.9.1/rdoc/generator/template/darkfish/js/thickbox-compressed.js. O Ubuntu é o meu único sistema operacional instalado. A Clamav não conseguiu excluir ou colocar em quarentena o arquivo. Eu deveria estar preocupado ou isso é um falso positivo? Eu fiz a varredura do mesmo arquivo várias vezes e ele aparece como uma ameaça a cada vez. Também tentei googling o problema antes de postar e não encontrei nenhuma informação.

Um ponto que eu esqueci de mencionar, clamav pega como PUA.script.packed-1

    
por melissa 11.03.2013 / 20:02

2 respostas

4

Esse arquivo parece pertencer ao pacote libruby1.9.1 , que deve ser instalado quando você instalou o Ruby.

Se esse pacote vier dos repositórios padrão, acho que o aviso não deve ser motivo para preocupação. Se vier de um PPA, você deve dar uma olhada mais de perto.

Para ver de onde vem o pacote, você pode usar apt-cache . Do meu sistema: 

$ apt-cache policy libruby1.9.1
libruby1.9.1:
  Installed: (none)  <-- This shows the installed version (not installed on my case)
  Candidate: 1.9.3.0-1ubuntu2.5
  Version table:
     1.9.3.0-1ubuntu2.5 0
        500 http://pt.archive.ubuntu.com/ubuntu/ precise-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu/ precise-security/main amd64 Packages
     1.9.3.0-1ubuntu1 0
        500 http://pt.archive.ubuntu.com/ubuntu/ precise/main amd64 Packages

Considere também verificar esse arquivo em um scanner on-line, como VirusTotal . Se apenas o clamav o marcar como uma tentativa potencial, é um falso positivo.

    
por Salem 11.03.2013 / 20:21
1

De acordo com uma postagem semelhante em outro lugar , PUA significa "Aplicativo potencialmente indesejado" e script.packed "geralmente significa que ele foi compactado usando algo que causa alertas de AV devido ao método usado para empacotar o software para instalação".

Ele continua e diz que

  

Centenas de pequenos desenvolvedores ficam com a risada "você deu um e-mail ao vírus para o seu PC" simplesmente porque eles decidiram usar um empacotador para construir sua instalação.

Como outra resposta aqui indica, se você obteve os pacotes instalados dos repositórios, provavelmente isso também é um falso positivo.

EDIT: Para sites, pelo menos, aqui e aqui , ele foi descartado como falso positivo, mas você sempre pode fazer o upload o arquivo para um serviço como VirScan.org para uma verificação com vários mecanismos antivírus.

    
por carnendil 11.03.2013 / 20:31
simon escuta 4.0 build - further - error Qual é o melhor IDE do Fortran 77?