ClamAV: PUA.Win.Exploit.CVE_2012_0110 TROUVÉ (/usr/share/mime/mime.cache)
J'ai récemment scanné mon système avec (j'utilise la dernière version de ClamAV et mes définitions sont à jour):
Sudo clamscan -r --detect-pua --infected --bell /
Et celui-ci était des résultats:
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110 FOUND
Je n'ai jamais rien vu de tel auparavant, alors qu'est-ce que c'est, est-ce que c'est quelque chose d'inquiétant et dois-je faire quelque chose à ce sujet? Aussi, quel est le but de l'emplacement dans lequel il a été trouvé?
Informations complémentaires:
Vous pouvez télécharger le fichier mime.cache ici: https://www.dropbox.com/s/58sxjv48ye4p6au/mime.cache?dl=
Et il semble que j'ai trouvé ce que ce CVE_2012_0110 est, car c'est l'une des vulnérabilités listées dans cette page .
J'ai scanné le fichier sur VirusTotal et, bien que la seule chose qui ait détecté un problème soit dans la section Informations complémentaires en bas, je ne crois pas nécessairement que tout va bien car si quelque chose était dit injecté dans ce fichier ou quelque chose, alors ce serait peut-être plus d'heuristique qui le détecterait plutôt que de faire correspondre les sommes MD5. Voici le rapport: report
Informations sur le système d'exploitation:
Description: Ubuntu 14.10
Release: 14.10
C'est probablement juste un faux positif. /usr/share/mime/mime.cache est un fichier généré de tous les types MIME connus sur votre système. Ce n'est pas un exécutable.
Les analyseurs de virus détectent les logiciels malveillants au moyen d’empreintes digitales connues (hachages). Ce modèle conduit inévitablement à des faux positifs. C’est peut-être une coïncidence si un virus Windows connu correspond à l’empreinte digitale trouvée sur un système Linux, peut-être parce que l’empreinte digitale correspond simplement à un certain modèle de type MIME qui correspondra inévitablement sur n’importe quel système Linux ...
Pour l'instant, je ne m'inquiéterais pas pour ça, mais contactez simplement l'équipe ClamAV pour savoir s'il s'agit déjà d'un problème connu d'eux.
Assurez-vous également de rester à jour avec les empreintes digitales ClamAV les plus récentes (freshclam).
J'avais le même (cache PUA.Win.Exploit.CVE_2012_0110) sur mon Linux.
J'ai donc démarré à partir de l'instillation USB ou DISK> Pour essayer Linux>, cherchez le fichier (/usr/share/mime/mime.cache) et je l'ai transféré sur une clé USB. Reconnecté à mon ordinateur Linux installé et remplacé celui qui se trouve sur mon système par celui que j'ai transféré sur ma clé USB (le virus n'est plus détecté).
J'ai une nouvelle installation d'Ubuntu 15.10 et elle est apparue dès que j'ai commencé à naviguer sur le Web. Je suis seulement allé sur certains sites Web jusqu'à présent. J'ai jeté un coup d'oeil à l'intérieur du fichier et il semble y avoir une collection de divers programmes sur mon ordinateur. J'ai remplacé les autorisations par /usr/share/mime/mime.cache par 400. J'ai également vidé le fichier en tant que root à l'aide de:
echo " " > /usr/share/mime/mime.cache
La commande pour changer les permissions:
chmod 400 /usr/share/mime/mime.cache
De plus, ClamAV a tendance à détecter les virus dans le répertoire ~/.cache/mozilla/firefox/[string] .default/cache2/entries /, j'ai donc modifié les autorisations en 400 et rien n'est téléchargé dans ce répertoire. [chaîne] ressemble à environ 10 caractères alphanumériques qui semblent être différents pour chaque profil d'utilisateur. Firefox fonctionne toujours, il s’agissait donc d’une solution de contournement facile. J'ai fait la même chose sur un Mac et Windows (chemins de répertoire différents) pour Firefox, Chrome et Safari, et les navigateurs fonctionnent et aucune entrée n'est téléchargée.