Заразился троянцем для Windows

Автор amdir, 17 января 2015, 00:19:57

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

amdir

17 января 2015, 00:19:57
Добрый день!

Использую Debian GNU/Linux 7 i686 PAE и DrWeb 10 для Linux, WINE 1.4.1. 10 января, во время очередной проверки, DrWeb удалил файлы notepad.exe во всех каталогах ~/wineprefixes/*/drive_c/windows и ~/wineprefixes/*/drive_c/windows/system32 (я стараюсь каждое приложение Windows устанавливать в отдельный WINEPREFIX, чтобы при необходимости проще было удалять их по отдельности), обозначив их как Trojan.Swrort.6. С тем же диагнозом были стёрты файлы notepad.exe в каталоге WINE по умолчанию (~/.wine/drive_c/windows/notepad.exe и ~/.wine/drive_c/windows/system32/notepad.exe) и даже в его резервной копии на флэшке (/media/Transcend/home-mmm/.wine/drive_c/windows/notepad.exe и /media/Transcend/home-mmm/.wine/drive_c/windows/system32/notepad.exe). Ещё один файл notepad.exe был удалён в каталоге /usr/lib/i386-linux-gnu/wine/fakedlls, запись в который разрешена только суперпользователю. Посмотрел результаты проверки - все стёртые файлы в последний раз изменялись в 2012-2013 годах. Предыдущая проверка выполнялась примерно месяц назад. Нынешняя версия системы установлена летом 2014 года (после того, как сборка для AMD64 неожиданно обвалилась и отказалась работать даже после переустановки), приложения WINE, насколько я помню, сохранились с предыдущей установки. Никаких подозрительных запросов на ввод администраторского пароля для срочной установки "нового видеокодека" я не помню.

Не подскажете, как этот троянец мог ко мне проникнуть и что вообще вся эта история может означать? Просто очень странно, что вредонос, написанный, как я понимаю, для Windows, ухитрился каким-то образом запуститься в Linux и заразить мне весь WINE, включая защищённый от записи системный каталог, да ещё и на флэшку попасть. Обращался в техподдержку DrWeb, они затруднились с ответом.

Спасибо

alsoijw

#1
17 января 2015, 00:21:53
Сотри все екзешники и пересавь вино в чём проблема?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

yura_n

#2
17 января 2015, 00:26:28 Последнее редактирование: 17 января 2015, 00:28:08 от yura_n
Цитата: amdir от 17 января 2015, 00:19:57Не подскажете, как этот троянец мог ко мне проникнуть и что вообще вся эта история может означать? Просто очень странно, что вредонос, написанный, как я понимаю, для Windows, ухитрился каким-то образом запуститься в Linux и заразить мне весь WINE, включая защищённый от записи системный каталог, да ещё и на флэшку попасть. Обращался в техподдержку DrWeb, они затруднились с ответом.
Как он мог попасть - скорее всего и здесь затруднятся с ответом. ;D Учитывая, что wine - это среда как раз для запуска Windows программ, то почему бы в ней не запуститься и вирусу? Что до того, что он обнаружен только сейчас, то возможно в базе данных (антивируса) сигнатур вирусов этого вируса раньше просто не было.

qupl

#3
17 января 2015, 15:41:25
Либо ложное срабатывание антивирусника. Если "зараженный" файл есть в наличии, то проверьте его через virustotal, например.

ogost

#4
17 января 2015, 18:39:31
грамотно написанный троянец )))) даже в wine заработал ))))
присоединяюсь к мнению qupl, скорее всего ложное срабатывание.
и если это не ложное срабатывание, то затрудняюсь ответить, как он там вообще работает, как на флешку попал (может всё же с флешки на wine?), какие действия он смог предпринять и т.д.
думаю с этим довольно интересным вопросом вам лучше обратиться к разработчикам wine. и если не затруднит, то поделиться и с нами.

vovan--vovan

#5
18 января 2015, 19:17:30 Последнее редактирование: 18 января 2015, 19:24:43 от vovan--vovan
Цитата: amdir от 17 января 2015, 00:19:57Не подскажете, как этот троянец мог ко мне проникнуть и что вообще вся эта история может означать? Просто очень странно, что вредонос, написанный, как я понимаю, для Windows, ухитрился каким-то образом запуститься в Linux и заразить мне весь WINE, включая защищённый от записи системный каталог, да ещё и на флэшку попасть. Обращался в техподдержку DrWeb, они затруднились с ответом.
Смотря что вы там под Wine устанавливали. Если игрушку с сайта "скачать бесплатно" то... Комментарии излишни. Насчет вирусов в Линукс вы не идеализируйте. Есть кроссплатформенная зараза, есть конкретно написанные под Линукс. Наше счастье что Debian пока не популярен для простых людей которым нужен Windows+игрушка. Посмотрите на Андроид, вирусописателям стало выгодно сцеживать с смартфонов копейку, вот и для них и пишут и доят. Вот тут http://vms.drweb.ru/virus/?i=2669290 кое что написано про это семейство.
Не даст поколебаться Он ноге твоей, и не воздремлет хранящий тебя...

Владим

#6
18 января 2015, 20:41:09
При сканирование Dr.Web  обнаружено угроза -1 Заражение -1 . Но что конкретно не указано. Как такое может быть?

endru

#7
19 января 2015, 06:12:45
Вопрос советую задать на форуме dr.web
Печать
Вверх Страницы1
Действия пользователя