Domanda Ubuntu File infettati rilevati da clamav

Chronalt14

Utente Silver
12 Agosto 2022
184
39
23
91
Ultima modifica:
Buonasera, creo questa discussione perchè sono un pò preoccupato. Circa 30 minuti fa ho eseguito una scansione antivirus tramite clamav con il comando sudo clamscan --recursive / come faccio di solito; una volta finita la scansione clamav mi riporta lo scan summary dove appunto c'era scritto oltre le altre cose, questo= Infected files: 3. Volevo sapere come eliminare questi file infettati perchè ho cercato nella documentazione nel sito ufficiale ma è un pò confusionario (ci sono molti comandi elencati). Dico solo che io sono sempre stato attento su queste cose: installo file su siti ufficiali, dall'app center di Ubuntu, utilizzo DNS buoni come Cloudflare, ho impostato il firewall ufw di default di Ubuntu al massimo, password manager, ho impostato su firefox l'autoeliminazione dei cookie, dati, cronologia ecc. una volta chiuso e molto altro. L'ultima cosa più "lunga" che ho fatto è stato installare Steam tramite pacchetto .deb dal sito ufficiale, acquistare un gioco e attivare la funzione proton per giocare in modalità nativa ai giochi che non sono stati pubblicati per linux (ci sono riuscito, infatti sono molto contento dal lato gaming che si sta espandendo su questo mondo). Forse clamav si sbaglia? Fatemi sapere al più presto possibile come eliminare questi file infettati perchè sono non un pò, MOLTO preoccupato.
Messaggio unito automaticamente:

Aggiornamento importante: ho eseguito un'altra scansione ma stavolta ho messo l'opzione --bell e ho trovato 1 dei 3 virus (per chi non lo sapesse --bell è una funzione che emette un beep per ogni virus che rileva). Il virus è un file .exe! Voi mi direte: ma se hai Ubuntu che caazzo ti scarichi gli eseguibili di Windows. Ebbene non l'ho scaricato io; come molti di voi sapranno quando si installa Proton per eseguire i giochi in modalità nativa su Linux si installa anche Wine in automatico (perchè appunto Proton si serve di Wine per far funzionare i giochi). Ora vi dico però come ho installato Proton: impostazioni di Steam, compatibilità, attivo l'opzione di Proton, mi scarica quindi automaticamente nella dashboard di Steam Wine, Proton e basta, un'installazione pulitissima quindi, ma intanto, sul percorso dove è stato installato Wine, ClamAV mi trova questo eseguibile. Ora non so se è un virus o meno ma intanto ClamAV, uno degli antivirus più potenti su mondo Linux lo rileva come tale. Vi farò sapere se trovo gli altri 2.
Messaggio unito automaticamente:

Ecco il percorso del possibile virus: /home/chronalt14/.wine/drive_c/windows/syswow64/winver.exe: Win.Malware.Ulise-10018340-0
Ho cercato su google ed ho trovato solo un'articolo che ne parla: https://forum.garudalinux.org/t/clamav-found-virus-in-winver-exe-file-of-wine/33866
 
Sembra un falso positivo

ClamAV, uno degli antivirus più potenti su mondo Linux lo rileva come tale

Non ci vuole tanto quando non esiste concorrenza. ClamAV non può essere paragonato a gli av per Windows: il primo è pensato per scansioni di firme statiche ad esempio per gli allegati in un mail server o gli upload su un file sharing, mentre AV Windows più moderni controllano il comportamento dei programmi in tempo reale e usano anche protezioni cloud.
 
Sembra un falso positivo



Non ci vuole tanto quando non esiste concorrenza. ClamAV non può essere paragonato a gli av per Windows: il primo è pensato per scansioni di firme statiche ad esempio per gli allegati in un mail server o gli upload su un file sharing, mentre AV Windows più moderni controllano il comportamento dei programmi in tempo reale e usano anche protezioni cloud.
Anche a me sembra un falso positivo ma per sicurezza l'ho rimosso.
È vero, su linux ci sono pochissimi AV ma il motivo è perchè è veramente difficile prendere un malware o altro appunto su linux; Windows invece è molto utilizzato e quindi un cyber-criminale cercherà di trovare una falla nel sistema o di scrivere uno script da zero visto i milioni di utenti che lo usano.
 
Anche a me sembra un falso positivo ma per sicurezza l'ho rimosso.
È vero, su linux ci sono pochissimi AV ma il motivo è perchè è veramente difficile prendere un malware o altro appunto su linux; Windows invece è molto utilizzato e quindi un cyber-criminale cercherà di trovare una falla nel sistema o di scrivere uno script da zero visto i milioni di utenti che lo usano.
Non è difficile infettare un server Linux, il fatto che windows sia molto utilizzato non implica che sia più a rischio di un host linux, smettiamola di dire cose senza quantomeno informarsi.
 
  • Mi piace
Reazioni: JunkCoder