Автор Тема: Заразился троянцем для Windows  (Прочитано 1811 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн amdir

Заразился троянцем для Windows
« : 17 Января 2015, 00:19:57 »
Добрый день!

Использую Debian GNU/Linux 7 i686 PAE и DrWeb 10 для Linux, WINE 1.4.1. 10 января, во время очередной проверки, DrWeb удалил файлы notepad.exe во всех каталогах ~/wineprefixes/*/drive_c/windows и ~/wineprefixes/*/drive_c/windows/system32 (я стараюсь каждое приложение Windows устанавливать в отдельный WINEPREFIX, чтобы при необходимости проще было удалять их по отдельности), обозначив их как Trojan.Swrort.6. С тем же диагнозом были стёрты файлы notepad.exe в каталоге WINE по умолчанию (~/.wine/drive_c/windows/notepad.exe и ~/.wine/drive_c/windows/system32/notepad.exe) и даже в его резервной копии на флэшке (/media/Transcend/home-mmm/.wine/drive_c/windows/notepad.exe и /media/Transcend/home-mmm/.wine/drive_c/windows/system32/notepad.exe). Ещё один файл notepad.exe был удалён в каталоге /usr/lib/i386-linux-gnu/wine/fakedlls, запись в который разрешена только суперпользователю. Посмотрел результаты проверки - все стёртые файлы в последний раз изменялись в 2012-2013 годах. Предыдущая проверка выполнялась примерно месяц назад. Нынешняя версия системы установлена летом 2014 года (после того, как сборка для AMD64 неожиданно обвалилась и отказалась работать даже после переустановки), приложения WINE, насколько я помню, сохранились с предыдущей установки. Никаких подозрительных запросов на ввод администраторского пароля для срочной установки "нового видеокодека" я не помню.

Не подскажете, как этот троянец мог ко мне проникнуть и что вообще вся эта история может означать? Просто очень странно, что вредонос, написанный, как я понимаю, для Windows, ухитрился каким-то образом запуститься в Linux и заразить мне весь WINE, включая защищённый от записи системный каталог, да ещё и на флэшку попасть. Обращался в техподдержку DrWeb, они затруднились с ответом.

Спасибо
 

Оффлайн alsoijw

Re: Заразился троянцем для Windows
« Ответ #1 : 17 Января 2015, 00:21:53 »
Сотри все екзешники и пересавь вино в чём проблема?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?
 

yura_n

  • Гость
Re: Заразился троянцем для Windows
« Ответ #2 : 17 Января 2015, 00:26:28 »
Не подскажете, как этот троянец мог ко мне проникнуть и что вообще вся эта история может означать? Просто очень странно, что вредонос, написанный, как я понимаю, для Windows, ухитрился каким-то образом запуститься в Linux и заразить мне весь WINE, включая защищённый от записи системный каталог, да ещё и на флэшку попасть. Обращался в техподдержку DrWeb, они затруднились с ответом.
Как он мог попасть - скорее всего и здесь затруднятся с ответом. ;D Учитывая, что wine - это среда как раз для запуска Windows программ, то почему бы в ней не запуститься и вирусу? Что до того, что он обнаружен только сейчас, то возможно в базе данных (антивируса) сигнатур вирусов этого вируса раньше просто не было.
« Последнее редактирование: 17 Января 2015, 00:28:08 от yura_n »
 

Оффлайн qupl

Re: Заразился троянцем для Windows
« Ответ #3 : 17 Января 2015, 15:41:25 »
Либо ложное срабатывание антивирусника. Если "зараженный" файл есть в наличии, то проверьте его через virustotal, например.

Оффлайн ogost

Re: Заразился троянцем для Windows
« Ответ #4 : 17 Января 2015, 18:39:31 »
грамотно написанный троянец )))) даже в wine заработал ))))
присоединяюсь к мнению qupl, скорее всего ложное срабатывание.
и если это не ложное срабатывание, то затрудняюсь ответить, как он там вообще работает, как на флешку попал (может всё же с флешки на wine?), какие действия он смог предпринять и т.д.
думаю с этим довольно интересным вопросом вам лучше обратиться к разработчикам wine. и если не затруднит, то поделиться и с нами.

Оффлайн vovan--vovan

Re: Заразился троянцем для Windows
« Ответ #5 : 18 Января 2015, 19:17:30 »
Не подскажете, как этот троянец мог ко мне проникнуть и что вообще вся эта история может означать? Просто очень странно, что вредонос, написанный, как я понимаю, для Windows, ухитрился каким-то образом запуститься в Linux и заразить мне весь WINE, включая защищённый от записи системный каталог, да ещё и на флэшку попасть. Обращался в техподдержку DrWeb, они затруднились с ответом.
Смотря что вы там под Wine устанавливали. Если игрушку с сайта "скачать бесплатно" то... Комментарии излишни. Насчет вирусов в Линукс вы не идеализируйте. Есть кроссплатформенная зараза, есть конкретно написанные под Линукс. Наше счастье что Debian пока не популярен для простых людей которым нужен Windows+игрушка. Посмотрите на Андроид, вирусописателям стало выгодно сцеживать с смартфонов копейку, вот и для них и пишут и доят. Вот тут http://vms.drweb.ru/virus/?i=2669290 кое что написано про это семейство.
« Последнее редактирование: 18 Января 2015, 19:24:43 от vovan--vovan »
Не даст поколебаться Он ноге твоей, и не воздремлет хранящий тебя...
 

Оффлайн Владим

  • Пользователь
  • *
  • Сообщений: 28
Сканирование Dr.Web
« Ответ #6 : 18 Января 2015, 20:41:09 »
При сканирование Dr.Web  обнаружено угроза -1 Заражение -1 . Но что конкретно не указано. Как такое может быть?
 

Оффлайн endru

Re: Сканирование Dr.Web
« Ответ #7 : 19 Января 2015, 06:12:45 »
Вопрос советую задать на форуме dr.web

Теги: