Shortcut Virus in Ubuntu 12.04 [chiuso]

2

Adoro Ubuntu. Sono scioccato di trovare questo virus che sta creando una cartella Recycler e molti file ".lnk" nel momento in cui inserisco qualsiasi unità USB. Inserendo l'USB sul mio PC Windows con BitDefender Internet Security 2015, rileviamo chiaramente questi file come malware. Nasconde tutti i dati presenti nell'USB.

Onestamente, non ci credevo da 15 giorni. Utilizziamo i PC Ubuntu per l'accesso a Internet nella nostra azienda. Tutti i PC Ubuntu nel mio edificio sono affetti da questo problema. Ho formattato il mio PC e fatto una nuova installazione di Ubuntu 12.04. Il virus riappare dopo pochi giorni.

Ho installato BitDefender sul mio PC Ubuntu oggi e ho fatto una scansione completa del sistema. I file infettati da otto sono stati rilevati ed eliminati. Riesaminato per verificare che non ci siano file infetti. I file .lnk vengono creati una volta reinserita l'unità flash.

Ho apt-get aggiornato molte volte. Il mio sources.list ha repository e repository di Ubuntu che includono aggiornamenti di sicurezza. Per favore aiutami a sradicare questo virus dal mio Ubuntu PC e da altri PC nella rete.

Sto utilizzando Ubuntu 12.04 Desktop su un computer a 32 bit, 2 GB di RAM, processore Intel Core 2 Duo.

Ho scritto un post su come installare BD in Linux spiegando il problema. Puoi leggere qui .

Il sources.list ha i seguenti repository:

###### Ubuntu Main Repos
deb http://in.archive.ubuntu.com/ubuntu/ precise main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise main restricted universe

###### Ubuntu Update Repos
deb http://in.archive.ubuntu.com/ubuntu/ precise-security main restricted universe
deb http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-security main restricted universe
deb-src http://in.archive.ubuntu.com/ubuntu/ precise-updates main restricted universe

Questi sono i file che vengono creati come e quando viene inserita l'USB: Cartella Recycler, AUTOEXEC.BAT.lnk, boot.ini.lnk, bootfont.bin.lnk, CONFIG.SYS.lnk, IO.SYS.lnk, MSDOS.SYS.lnk, pagefile.sys.lnk

Il file di log /opt/BitDefender-scanner/var/log/bdscan.log ha il seguente:

//
// BitDefender scan report
//
// Time: Mon Jan 12 11:18:56 2015
// Command line: / --action=delete --suspect-copy --follow-link --log --no-list --no-warnings
// Core: AVCORE v2.1 Linux/i386 11.0.1.12 (Aug 7, 2014)
// Engines: scan: 17, unpack: 13, archive: 51, mail: 8
// Total signatures: 6337727
//

/media/580F-A489__/RECYCLER/temp/qedit.dld      infected: Trojan.Generic.12478731
/media/580F-A489__/RECYCLER/temp/qedit.dld      deleted
/media/580F-A489__/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211 infected: Trojan.GenericKD.2051722
/media/580F-A489__/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211 deleted
/media/580F-A489__/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211       infected: Trojan.GenericKD.2051722
/media/580F-A489__/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211       deleted
/media/580F-A489_/RECYCLER/temp/qedit.dld       infected: Trojan.Generic.12478731
/media/580F-A489_/RECYCLER/temp/qedit.dld       deleted
/media/580F-A489_/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211  infected: Trojan.GenericKD.2051722
/media/580F-A489_/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211  deleted
/media/580F-A489_/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211        infected: Trojan.GenericKD.2051722
/media/580F-A489_/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211        deleted
/media/DEEPAK/RECYCLER/temp/qedit.dld   infected: Trojan.Generic.12478731
/media/DEEPAK/RECYCLER/temp/qedit.dld   deleted
/media/DEEPAK/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211    infected: Trojan.GenericKD.2051722
/media/DEEPAK/RECYCLER/S-1-5-21-854245398-2077806209-0000980848-1003/tmp0211    deleted
/media/DEEPAK/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211      infected: Trojan.GenericKD.2051722
/media/DEEPAK/RECYCLER/S-1-5-21-602162358-842925246-1417001333-502/tmp0211      deleted
/bin/.flash/.u/44.58u.tar=>(gzip)=>0000000000.nls       password protected
/bin/.flash/.u/44.58u.tar=>(gzip)=>jg.nls       password protected
/bin/.flash/bin/comlnkdll       infected: Trojan.Generic.12478731
/bin/.flash/bin/comlnkdll       deleted
/bin/.flash/bin/comhorse.dat    infected: Trojan.GenericKD.2051722
/bin/.flash/bin/comhorse.dat    deleted


Results:
Folders            : 0
Files              : 619188
Packed             : 4029
Archives           : 15070
Infected files     : 11
Suspect files      : 0
Deleted files      : 11
Copied files       : 0
I/O errors         : 950
Files/second       : 407
Scan time          : 00:25:19

Non riesco a trovare i dettagli di Trojan esatti in Enciclopedia dei virus BD . Tuttavia questo articolo dice che Trojan.GenericKD è un PUP (programma potenzialmente indesiderato) che potrebbe provenire da installatori personalizzati trovato in siti come CNET, Softonic, Brothersoft ecc. Questi siti sono bloccati dal Web Gateway in azienda.

    
posta Deepak Devanand 10.01.2015 - 13:39

3 risposte

2

Vai a Gestione disco e formatta la chiavetta.

Per prima cosa, comprendi che non esiste alcun virus di scorciatoia per Ubuntu. È la tua unità Flash a fare casino con se stessa o tu usi Wine.

Ti suggerisco di reinstallare Wine, se hai installato Wine.

Rimuovi Wine completamente digitando: sudo apt-get remove wine

Installa di nuovo il vino digitando: sudo apt-get install wine

Questo dovrebbe risolvere il problema.

    
risposta data Sachin Kamath 10.01.2015 - 13:55
2

Per quanto ne so, Ubuntu o qualsiasi altra distribuzione Linux non è influenzata dal virus della scorciatoia. Ci deve essere una sorta di processo di Windows in esecuzione nel sistema. Anche se ipotizziamo che il tuo sistema sia affetto da un virus shortcut con targeting Linux, qual è lo scopo di creare file .lnk in quanto tali file funzioneranno su un sistema Windows.

Trovate file .exe o file .bat copiati sulla vostra pen drive?

Come spiega la documentazione di Ubuntu, BitDefender identifica i virus Windows sul tuo sistema.

% Bl0ck_qu0te%

Quindi, se mostra virus, significa che nel tuo sistema ci sono virus Windows. Quelli non funzioneranno su Ubuntu.

    
risposta data isuru-buddhika 10.01.2015 - 15:20
1

Ci scusiamo per la pubblicazione di questa risposta come risposta, ma modificherò e aggiornerò questa risposta mentre procediamo per ridurre al minimo il numero di commenti e mantenere le cose in ordine. Ho installato clamav e questo è solo per essere in grado di rilevare virus Windows su dischi rigidi NTFS che collego anche se il mio USB. (nessun demone installato)

Inoltre, clamav è disponibile negli archivi software standard di Ubuntu e raccomandato da Canonical: link . Perché hai persino installato Bitdefender?

Dici che i file .lnk continuano a spuntare e che questo è tutto sulla rete della tua azienda. Hai installato samba su quelle macchine con account guest abilitati?

Dici di aver reinstallato usando 12.04. Perché una versione di fine vita?

Se puoi rispondere alle domande precedenti, sono abbastanza sicuro che posso aiutarti molto meglio usando il software gratuito.

    
risposta data Fabby 12.01.2015 - 11:02

Leggi altre domande sui tag