Estou digitalizando um dos meus sistemas com o Clamav assim:
$ clamscan -r -i --remove --max-filesize=4000M --max-scansize=4000M \
--exclude=/proc --exclude=/sys --exclude=/dev --bytecode-timeout=190000
Encontrou um vírus no meu diretório de download:
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
Qual é o dano desse tipo de malware?
Eu baixei esse arquivo do site oficial da Oracle, então não consigo entender como ele pode ser infectado. Alguém manipulou este arquivo antes de entrar no meu sistema e eu instalei algum tipo de malware no meu Fedora?
Eu removi o Java em questão do meu sistema e ativei o openjdk do repositório.
Informações de Oracle :
Trecho:
CVE-2013-2472 Vulnerability in the Java Runtime Environment component of Oracle Java SE (subcomponent: 2D). Supported versions that are affected are 7 Update 21 and before, 6 Update 45 and before and 5.0 Update 45 and before. Easily exploitable vulnerability allows successful unauthenticated network attacks via multiple protocols. Successful attack of this vulnerability can result in unauthorized Operating System takeover including arbitrary code execution.
Note: Applies to client deployment of Java only. This vulnerability can be exploited only through sandboxed Java Web Start applications and sandboxed Java applets.
CVSS Base Score 10.0 (Confidentiality, Integrity and Availability impacts). CVSS V2 Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C). (legend) [Advisory]
Quais são os procedimentos aqui, isso é um vírus do Linux? Observe "resultar em controle não autorizado do sistema operacional".
Aqui estão os resultados da verificação:
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Unix.Trojan.MSShellcode-21 FOUND
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 3791398
Engine version: 0.98.6
Scanned directories: 103265
Scanned files: 746031
Infected files: 2
Total errors: 18624
Data scanned: 330294.49 MB
Data read: 367850.33 MB (ratio 0.90:1)
Time: 33458.657 sec (557 m 38 s)
17 April 2015
ClamAV está dizendo que houve duas infecções, de acordo com o @dhag, este não é o caso e uma delas é uma vulnerabilidade / exploit em Java .... Estou curioso para saber porque a varredura está removendo scripts do diretório nmap . Eu suspeito que isso não é malware, mas tem a ver com algo sobre a capacidade do script.
Acho que a mensagem Java.Exploit.CVE_2013_2472 FOUND significa que
este instalador é para uma versão do Java afetada com o bug de segurança
você postou a descrição de.
Se assim for, não é um vírus, apenas um pedaço de legit-mas-perigoso Programas. Eu diria que a mensagem do ClamAV é um pouco confusa, e a ação de excluir o arquivo afetado pode não ser a mais sensata, mas isso está aberto ao debate.