FC2ブログ

    PC

    Unix.Trojan.Vali-6606621-0 FOUND

     ←寝ている間にUpdateで再起動される。 →VLCはまだ32ビットが安定?画面真っ黒
    wpserverでUnix.Trojan.Vali-6606621-0 FOUNDしました。
    該当ファイル
    /usr/lib/x86_64-linux-gnu/libgnome-desktop-3-17/gnome-rr-debug
    は、VM-wareで動いている同じファイルと交換しました。そして再チェック中。
    fileserverでも、問題がないか、
    【Ubuntu 18.04/16.04 LTS Server】ClamAVで定期的にウイルスチェックし、メール通知する
    にて、clam-full.shを使って。チェック中です。
    除外フォルダにサーバHDDマウントポイントを追加しておきました。

    いきなり、Virus扱いでした。
    誤検知可能性があるので、まっさらなUbuntu18.04でVMでためしてみます。
    まっさらなUbuntu18.04でもウイルス扱いです。
    今後、アップデート等にウイルス情報がなければ、誤検知でしょう。
    ひとまずはホワイトリストに入れ、隔離を防止します。
    ClamAV で偽陽性ファイルをホワイトリストに追加する方法
    gnome-rr-debugをカレントに持ってきます。そして以下を実行。
    # sigtool --sha1 gnome-rr-debug > /var/lib/clamav/whitelist.fp
    スキャンの結果問題ありませんでした。
    増やす場合は、txt形式なので>>でリダイレクトすればよいようです。(今後のため)
    まっさらなUbuntu18.04でVMから、ファイルをもらって、書き戻しときます。
    スポンサーサイト



    記事一覧  3kaku_s_L.png 未分類
    記事一覧  3kaku_s_L.png 日記
    記事一覧  3kaku_s_L.png PC
    記事一覧  3kaku_s_L.png マンガ、アニメ
    記事一覧  3kaku_s_L.png 家電
    記事一覧  3kaku_s_L.png ゲーム
    記事一覧  3kaku_s_L.png memo
    記事一覧  3kaku_s_L.png クルマ

    ~ Comment ~

    unix.trojan.valiについて 

    こんにちは。ご教授願いたく、コメントを失礼させていただきます。
    私もrootから7月13日に以下の内容でメールが来ました

    /usr/bin/chvt: Unix.Trojan.Vali-6606621-0 FOUND
    /usr/bin/chvt: moved to '/tmp/clamdscan-quarantinedir-20180713/chvt'
    /usr/bin/deallocvt: Unix.Trojan.Vali-6606621-0 FOUND
    /usr/bin/deallocvt: moved to '/tmp/clamdscan-quarantinedir-20180713/deallocvt'
    /usr/bin/getkeycodes: Unix.Trojan.Vali-6606621-0 FOUND
    /usr/bin/getkeycodes: moved to '/tmp/clamdscan-quarantinedir-20180713/getkeycodes'

    どう対処したらいいか迷ってて、結局放置しているのですが、
    5日目の今日も以下のように
    /tmp/clamdscan-quarantinedir-20180716/chvt.001.001.001: Unix.Trojan.Vali-6606621-0 FOUND
    /tmp/clamdscan-quarantinedir-20180716/chvt.001.001.001: moved to '/tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001'
    /tmp/clamdscan-quarantinedir-20180716/deallocvt.001: Unix.Trojan.Vali-6606621-0 FOUND
    /tmp/clamdscan-quarantinedir-20180716/deallocvt.001: moved to '/tmp/clamdscan-quarantinedir-20180717/deallocvt.001'
    /tmp/clamdscan-quarantinedir-20180716/getkeycodes.001: Unix.Trojan.Vali-6606621-0 FOUND
    /tmp/clamdscan-quarantinedir-20180716/getkeycodes.001: moved to '/tmp/clamdscan-quarantinedir-20180717/getkeycodes.001'
    /tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001: Unix.Trojan.Vali-6606621-0 FOUND
    /tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001: moved to '/tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001.001'
    /tmp/clamdscan-quarantinedir-20180717/deallocvt.001: Unix.Trojan.Vali-6606621-0 FOUND
    /tmp/clamdscan-quarantinedir-20180717/deallocvt.001: moved to '/tmp/clamdscan-quarantinedir-20180717/deallocvt.001.001'

    と、.001が追加されて増殖しています。

    もともとあった/usr/bin/chvtとdeallocvtとgetkeycodesを元に戻して、検疫フォルダから、増殖分を全て削除して、貴殿ブログでのホワイトリストに追加する方法を取るという手順でいいのでしょうか?

    お忙しいところ恐縮ですが、ご教示、よろしくお願いします。

    Re: unix.trojan.valiについて 

    > こんにちは。ご教授願いたく、コメントを失礼させていただきます。
    > 私もrootから7月13日に以下の内容でメールが来ました
    >
    > /usr/bin/chvt: Unix.Trojan.Vali-6606621-0 FOUND
    > /usr/bin/chvt: moved to '/tmp/clamdscan-quarantinedir-20180713/chvt'
    > /usr/bin/deallocvt: Unix.Trojan.Vali-6606621-0 FOUND
    > /usr/bin/deallocvt: moved to '/tmp/clamdscan-quarantinedir-20180713/deallocvt'
    > /usr/bin/getkeycodes: Unix.Trojan.Vali-6606621-0 FOUND
    > /usr/bin/getkeycodes: moved to '/tmp/clamdscan-quarantinedir-20180713/getkeycodes'
    >
    > どう対処したらいいか迷ってて、結局放置しているのですが、
    > 5日目の今日も以下のように
    > /tmp/clamdscan-quarantinedir-20180716/chvt.001.001.001: Unix.Trojan.Vali-6606621-0 FOUND
    > /tmp/clamdscan-quarantinedir-20180716/chvt.001.001.001: moved to '/tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001'
    > /tmp/clamdscan-quarantinedir-20180716/deallocvt.001: Unix.Trojan.Vali-6606621-0 FOUND
    > /tmp/clamdscan-quarantinedir-20180716/deallocvt.001: moved to '/tmp/clamdscan-quarantinedir-20180717/deallocvt.001'
    > /tmp/clamdscan-quarantinedir-20180716/getkeycodes.001: Unix.Trojan.Vali-6606621-0 FOUND
    > /tmp/clamdscan-quarantinedir-20180716/getkeycodes.001: moved to '/tmp/clamdscan-quarantinedir-20180717/getkeycodes.001'
    > /tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001: Unix.Trojan.Vali-6606621-0 FOUND
    > /tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001: moved to '/tmp/clamdscan-quarantinedir-20180717/chvt.001.001.001.001'
    > /tmp/clamdscan-quarantinedir-20180717/deallocvt.001: Unix.Trojan.Vali-6606621-0 FOUND
    > /tmp/clamdscan-quarantinedir-20180717/deallocvt.001: moved to '/tmp/clamdscan-quarantinedir-20180717/deallocvt.001.001'
    >
    > と、.001が追加されて増殖しています。
    >
    > もともとあった/usr/bin/chvtとdeallocvtとgetkeycodesを元に戻して、検疫フォルダから、増殖分を全て削除して、貴殿ブログでのホワイトリストに追加する方法を取るという手順でいいのでしょうか?
    >
    > お忙しいところ恐縮ですが、ご教示、よろしくお願いします。

    気が付かないで、お返事遅れてすいません。
    cramscanでなく、clamdscanをお使いなので、詳しいことはわかりません。
    ①まず、隔離ディレクトリ(/tmp移行)を除外しないでスキャンしているので、001がどんどん増えてるようです。
    ②それから、もとの/usr/bin/chvtとdeallocvtとgetkeycodesが本当にセーフなのかがわかりません。セーフならホワイトリスト入りでいいでしょう。
    clamdscanなので、①、②は当ブログの方法とは違うと思います。
    お力になれないで済まないのですが、clamdscanをどのように起動しているかもわからないので、答えは
    https://centossrv.com/bbshtml/webpatio/246.shtml
    ここあたりから見てみてはいかがでしょうか。
    管理者のみ表示。 | 非公開コメン卜投稿可能です。

    ~ Trackback ~

    卜ラックバックURL


    この記事にトラックバックする(FC2ブログユーザー)

    【寝ている間にUpdateで再起動される。】へ  【VLCはまだ32ビットが安定?画面真っ黒】へ