私はClamavを使って次のように私のシステムの1つをスキャンしています。
$ clamscan -r -i --remove --max-filesize=4000M --max-scansize=4000M \
--exclude=/proc --exclude=/sys --exclude=/dev --bytecode-timeout=190000
私はダウンロードディレクトリにウイルスを見つけました。
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
このマルウェアはどのようなダメージを与える可能性がありますか?
このファイルをOracleの公式ホームページからダウンロードしましたが、どのように感染したのか理解できません。このファイルが私のシステムに保存され、Fedoraにマルウェアをインストールする前に誰かがこのファイルを操作しましたか?
システムから問題となっているJavaを削除し、リポジトリでopenjdkを有効にしました。
情報信託:
抜粋:
CVE-2013-2472 Oracle Java SEのJava Runtime Environmentコンポーネント(サブコンポーネント:2D)の脆弱性。影響を受けるサポートバージョンには、7アップデート21以下、6アップデート45以下、5.0アップデート45以下が含まれます。脆弱性が悪用される可能性があるため、複数のプロトコルで認証されていないネットワーク攻撃が成功する可能性があります。この脆弱性に対する攻撃が成功すると、ランダムなコードの実行を含む不正なオペレーティングシステムの消臭が発生する可能性があります。
注:Javaクライアントの展開にのみ適用されます。この脆弱性は、Sandbox Java Web StartアプリケーションとSandbox Javaアプレットを介してのみ悪用される可能性があります。
CVSS基本スコア10.0(機密性、完全性、および可用性の影響)CVSS V2ベクトル:(AV:N / AC:L / Au:N / C:C / I:C / A:C)。 (伝説) [相談]
これはどんなプログラムですか? Linuxウイルスですか? 「不正なオペレーティングシステムの消臭の発生」を参照してください。
編集#1
スキャン結果は次のとおりです。
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Unix.Trojan.MSShellcode-21 FOUND
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 3791398
Engine version: 0.98.6
Scanned directories: 103265
Scanned files: 746031
Infected files: 2
Total errors: 18624
Data scanned: 330294.49 MB
Data read: 367850.33 MB (ratio 0.90:1)
Time: 33458.657 sec (557 m 38 s)
17 April 2015
ClamAVは@dhagによると、2つの感染があると言います。 1つはJavaの悪用/脆弱性です...スキャン時にnmapディレクトリからスクリプトを削除する理由がよくあります。私はこれがマルウェアではありませんが、スクリプトの機能に関連していると思います。
答え1
このメッセージは、インストーラJava.Exploit.CVE_2013_2472 FOUND
があなたの投稿に記載されているセキュリティバグの影響を受けるJavaバージョン用であるという意味で解釈されます。
もしそうなら、これはまったくウイルスではなく、合法的ですが危険なソフトウェアです。 ClamAVのメッセージは少し混乱し、影響を受けたファイルを削除するのが最も賢い方法ではないかもしれませんが、議論の余地があります。