Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Virus ve WINE  (Přečteno 2752 krát)

KarelJ

  • Aktivní člen
  • *
  • Příspěvků: 100
Virus ve WINE
« kdy: 23 Srpna 2024, 06:36:02 »
Zdravím, oskenoval jsem PC pod rootem a antivirus Clamav mi nahlásil u souboru cacls.exe virus trojan. Cesta: /usr/lib/i386-linux-gnu/wine/i386-windows.
Soubor jsem ještě projel přes Virustotal a ten také hlásí malware v 26 antivirech, včetně Malwarebytes. Je to planý poplach, nebo fakt virus.
Díky za info.

JirkaZ

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 1798
  • Dlouholetý uživatel Linuxu a open source obecně.
Re:Virus ve WINE
« Odpověď #1 kdy: 23 Srpna 2024, 11:28:32 »
Pokud to většinově potvrdil Virustotal, tak to nejspíš bude pravda...

zeleno

  • Aktivní člen
  • *
  • Příspěvků: 418
Re:Virus ve WINE
« Odpověď #2 kdy: 23 Srpna 2024, 14:21:33 »
Keďže wine teraz poskytuje v podstate „falošné“ binárne súbory systému Windows, Anti-Virus nie vždy úplne overí binárne súbory, iba ich označí.
Teda, čím novšie wine, tým viac binárnych súborov je preložených do win PE a takýchto hlásení môže byť čím ďalej viac.

JirkaZ

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 1798
  • Dlouholetý uživatel Linuxu a open source obecně.
Re:Virus ve WINE
« Odpověď #3 kdy: 23 Srpna 2024, 18:17:58 »
zeleno: nějak úplně nevím, cos tím chtěl říct...

Soubor buď je, nebo není infikovaný. Samozřejmě detekce může být falešná, a to jak pozitivní, tak negativní. Toto by měl eliminovat právě nástroj typu Virustotal, kde v podstatě "hlasují" různé nezávislé antiviry, a to v relativně velkém uskupení.

No a když jich významný (neřku-li třeba nadpoloviční) počet prohlásí, že tam virus je, tak tam nejspíš opravdu bude.

Roman Vacho

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 6119
Re:Virus ve WINE
« Odpověď #4 kdy: 25 Srpna 2024, 11:06:00 »
Zde z mých poznámek. Třeba se to někomu bude hodit. Mimochodem ten Kaspersky jsem nechal zkoumat i Virustotalem a dopadlo to dobře. :D
Zajímavé na něm je, že umí skenovat i to, co s ostatními nemáš šanci otestovat.
Ostatní výrobci se k podpoře Linuxu moc nemají nebo ji ukončili. Kaspersky podle mě hledá nové trhy, proto Linux aspoň takto podporují.

https://www.kaspersky.com/downloads/free-virus-removal-tool
https://github.com/CISOfy/lynis
clamav (clamtk)
dostupné jen jako flatpak. Asi nemá automatický update. A umí skenovat jen soubory a adresáře.
CLAMAV QT GUI
https://store.kde.org/p/1127892/
« Poslední změna: 25 Srpna 2024, 11:07:55 od Roman Vacho »
Vyřešená vlákna je vhodné uzavřít "Topic Solved" dole pod vláknem.

Prosím příště označit text kódu v editoru # pro lepší formátování textu výpisu. Děkujeme. Tým moderátorů.

regine

  • Stálý člen
  • **
  • Příspěvků: 852
Re:Virus ve WINE
« Odpověď #5 kdy: 26 Srpna 2024, 18:37:46 »
Antimalware SW pro Linux bylo a stále je za posledních 20 let hodně. Kaspersky myslím byl od počátku pro Linux-distra (jeho stažený ISO obraz byl vždy na Linux-u pro off-line skenování a zadara, užívám občas), pamatuji také Comodo, ESET, Bitdefender, myslím že i AVAST... Ale zaměření je hlavně na servery, odkud jdou největší finanční příjmy.
Osobně jsem dlouhodobě na desktopu užíval F-Prot Antivirus.
« Poslední změna: 26 Srpna 2024, 18:43:48 od regine »
Ubuntu 16.04 LTS 32bit, 22.04 LTS 64bit

KarelJ

  • Aktivní člen
  • *
  • Příspěvků: 100
Re:Virus ve WINE
« Odpověď #6 kdy: 26 Srpna 2024, 19:57:56 »
Pokud to většinově potvrdil Virustotal, tak to nejspíš bude pravda...
No dobře, takže v ofiko wine v ubuntu je virus. Co s tím?
« Poslední změna: 11 Září 2024, 13:24:08 od Michal "Tylnesh" Kohútek »

JirkaZ

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 1798
  • Dlouholetý uživatel Linuxu a open source obecně.
Re:Virus ve WINE
« Odpověď #7 kdy: 26 Srpna 2024, 20:07:30 »
A ten soubor potřebuješ? Třeba já ho v mé verzi WIne na Kubuntu 18.04 vůbec nemám, nalézá se až ve Wine v Kubuntu 22.04...

Zkoušel jsem ho poslat do Virustotalu a výsledek je tady (9/71 security vendors flagged this file as malicious, čili nic dramatického, navíc jde převážně o méně známé či rozšířené antiviry a mimochodem: jejich ClamAV ho nevyhodnocuje jako virově pozitivní).

Pokud se i tak bojíš, tak bych analyzoval, k čemu je ten soubor potřeba a pokud to není něco důležitého, pak prostě smazat.
« Poslední změna: 26 Srpna 2024, 20:29:20 od JirkaZ »

Roman Vacho

  • Moderátor
  • Závislák
  • ***
  • Příspěvků: 6119
Re:Virus ve WINE
« Odpověď #8 kdy: 27 Srpna 2024, 08:22:40 »
Antimalware SW pro Linux bylo a stále je za posledních 20 let hodně. Kaspersky myslím byl od počátku pro Linux-distra (jeho stažený ISO obraz byl vždy na Linux-u pro off-line skenování a zadara, užívám občas), pamatuji také Comodo, ESET, Bitdefender, myslím že i AVAST... Ale zaměření je hlavně na servery, odkud jdou největší finanční příjmy.
Osobně jsem dlouhodobě na desktopu užíval F-Prot Antivirus.
Spousta těch projektů byla ukončena nebo je placená. Neřekl bych, že je moc velký výběr. Tedy pokud se zaměřím na produkty s GUI a zdarma.
Pro CLI pár věcí je.
Nedávno jsem si ty firmy právě projížděl. Nebo mají na stránkách vystavenu linux. verzi, která se již roky nevyvíjí.
Také některé se nainstalují, ale nespustí se(COMODO, protože je to myslím ta nevyvíjená verze). Nebo se mi nepovedlo-spíše nechtělo dořešit závislosti(ESET).

Clamav-TK-GUI myslím také letos oznámil, respektive jeho autor, že končí. Už má nárok na důchod.
Tak o jediné solidní nadstavbě co vím, tak je ta QT.
Nemá to křížek na okno ani dialog zavření, ukončuje se z lišty.

Clamav jako takový vyšla nějaká nová verze 1.4, ale to má pro mě nesplněné závislosti.
Alespoň ta 1.3.x s tím QT GUI funguje.

Takže jediné co zbylo z těch zdarma, tak je Kaspersky a Clamav.(?) Ten Kaspersky je daleko před Clamavem. Jen..., však víte.
« Poslední změna: 27 Srpna 2024, 08:56:13 od Roman Vacho »
Vyřešená vlákna je vhodné uzavřít "Topic Solved" dole pod vláknem.

Prosím příště označit text kódu v editoru # pro lepší formátování textu výpisu. Děkujeme. Tým moderátorů.

KarelJ

  • Aktivní člen
  • *
  • Příspěvků: 100
Re:Virus ve WINE
« Odpověď #9 kdy: 31 Srpna 2024, 02:10:20 »
A ten soubor potřebuješ? Třeba já ho v mé verzi WIne na Kubuntu 18.04 vůbec nemám, nalézá se až ve Wine v Kubuntu 22.04...

Zkoušel jsem ho poslat do Virustotalu a výsledek je tady (9/71 security vendors flagged this file as malicious, čili nic dramatického, navíc jde převážně o méně známé či rozšířené antiviry a mimochodem: jejich ClamAV ho nevyhodnocuje jako virově pozitivní).

Pokud se i tak bojíš, tak bych analyzoval, k čemu je ten soubor potřeba a pokud to není něco důležitého, pak prostě smazat.
JO, peavda. Smazal jsem to. Pro jistotu a vše běhá jak má i bez tohoto souboru. Diky za ochotu a čas. K.

Michal "Tylnesh" Kohútek

  • Administrátor fóra
  • Stálý člen
  • ******
  • Příspěvků: 1085
    • Lords Of Tech
Re:Virus ve WINE
« Odpověď #10 kdy: 11 Září 2024, 13:24:27 »
Pokud to většinově potvrdil Virustotal, tak to nejspíš bude pravda...
No dobře, takže v ofiko wine v ubuntu je virus. Co s tím?

To si nemyslim. Wine funguje okrem ineho aj tak, ze niektore kniznice a utility reimplementovali alebo nahradili dummy implementaciami. Ak tie virus scannery kontroluju hash suboru oproti originalu od Microsoftu, tak sa taka reimplementacia moze javit ako nakazeny subor. Bez dekompilacie a studia co tam realne je to samozrejme neviem na 100% zarucit, ale to je jedine rozmumne vysvetlenie...
https://lordsoftech.com

Registered Linux User #506395

--- Smartphone 0: Apple iPhone 11
--- Smartphone 1: OnePlus 3T - Ubuntu Touch
--- Laptop 0: Apple Macbook Air M1
--- Laptop 1: Lenovo Thinkpad X1 Carbon Gen 3
--- Workstation: Ryzen 7 2700X, RX 5700XT, 32GB RAM
--- Other: Niekolko kusov od kazdeho vydaneho variantu Raspberry Pi

sabraq

  • Závislák
  • ***
  • Příspěvků: 3439
  • Bootloader-není téma k hovoru,ani zbytný prostor
Re:Virus ve WINE
« Odpověď #11 kdy: 14 Září 2024, 14:40:09 »
Je to planý poplach, nebo fakt virus.
Těžko říct, že je to dobře, ale myslím, že senzace nebude. Zkus se podívat ještě jednou cos naskenoval, což vidíš jen ty a pokud máš jen podezření na červa tak je to zase jen planý poplach. Takže nic s tím.
PP v kolečku - není licence,pouze upozornění na reklamu
"Dress code" - oblečení podle předpisu(ne kódované oblečení)
CC v kolečku - je licence,značí,že se někdo nesmírně snaží

 

Provoz zaštiťuje spolek OpenAlt.