web-dev-qa-db-fra.com

Devrais-je m'inquiéter d'une éventuelle menace?

J'ai récemment installé Ubuntu 12.10. J'utilise Clamav et j'ai régulièrement analysé mon système pour détecter des infections. Aujourd'hui, il a détecté une menace potentielle /usr/lib/Ruby/1.9.1/rdoc/generator/template/darkfish/js/thickbox-compressed.js. Ubuntu est mon seul système d'exploitation installé. Clamav n'a pas pu supprimer ou mettre en quarantaine le fichier. Devrais-je être concerné ou est-ce un faux positif? J'ai scanné le même fichier à plusieurs reprises et il le prend chaque fois comme une menace. Aussi, j'ai essayé de googler le problème avant de poster et je n'ai trouvé aucune information.

Un point que j'ai oublié de mentionner, clamav le récupère en tant que PUA.script.packed-1

securityclamav
2
melissa

Ce fichier semble appartenir au paquet libruby1.9.1, qui devrait être installé lors de l’installation de Ruby.

Si ce paquet provient des référentiels par défaut, je suppose que cet avertissement ne devrait pas vous inquiéter. Si cela provient d'un PPA, alors vous devriez regarder de plus près.

Pour voir d'où vient le paquet, vous pouvez utiliser apt-cache. De mon système:

$ apt-cache policy libruby1.9.1
libruby1.9.1:
  Installed: (none)  <-- This shows the installed version (not installed on my case)
  Candidate: 1.9.3.0-1ubuntu2.5
  Version table:
     1.9.3.0-1ubuntu2.5 0
        500 http://pt.archive.ubuntu.com/ubuntu/ precise-updates/main AMD64 Packages
        500 http://security.ubuntu.com/ubuntu/ precise-security/main AMD64 Packages
     1.9.3.0-1ubuntu1 0
        500 http://pt.archive.ubuntu.com/ubuntu/ precise/main AMD64 Packages

Pensez également à vérifier ce fichier dans un scanner en ligne tel que VirusTotal . Si seulement clamav le marque comme une menace potentielle, il s’agit probablement d’un faux positif.

4
Salem

Selon un poste similaire ailleurs , PUA signifie "Application potentiellement indésirable" et le script.packed "signifie généralement qu'il a été emballé à l'aide de quelque chose qui provoque des alertes AV en raison de la méthode utilisée emballer le logiciel pour installer ".

Il continue et dit que

Des centaines de petits développeurs obtiennent le risible "vous avez envoyé un e-mail contenant un virus à mon PC" simplement parce qu'ils décident d'utiliser un programme de compression pour créer leur installation.

Comme une autre réponse l’indique ici, si vous avez installé les paquets à partir de référentiels, il s’agira probablement aussi d’un faux positif.

EDIT: Pour les sites Web au moins, ici et ici , il a été exclu comme étant un faux positif, mais vous pouvez toujours télécharger le fichier sur un service tel que VirScan.org pour une vérification avec plusieurs moteurs antivirus.

1
carnendil