Как обнаружить вирус? Arch Linux

[pisede]

Подскажите как можно обнаружить вирус в arch linux, на что обращать внимание при поиске.

Методы которые не помогли:

• Переустановка ОС
• Сканирование утилитами: rkhunter, chkrootkit, clamAV.

ClamAV обнаружил два инфицированных файла, но при повторном сканирование он этого не обнаружил.
- Сетивой мониторинг, возможно эффективен, но у меня не достаточно навыков чтобы что-то конкретное об этом сказать. (По возможности можете сказать на что следует обращать внимение и какими утилитами лучше мониторить)

Замечания:
- При установке утилит/софта через pacman иногда занят 80 порт, не знаю связанно это с вирусом или нет.

Можете подсказать какие эффективные меры в обнаружинии, на что нужно обращать внимание при поиске, и какими утилитами можно обнаружить вирус из разряда bootkit/rootkit. Можете так же поделится статьями под arch linux/linux которые могут так же чем то помочь

 

[Phoenix]

Подскажите как можно обнаружить вирус в arch linux, на что обращать внимание при поиске.

Методы которые не помогли:

• Переустановка ОС
• Сканирование утилитами: rkhunter, chkrootkit, clamAV.

ClamAV обнаружил два инфицированных файла, но при повторном сканирование он этого не обнаружил.
- Сетивой мониторинг, возможно эффективен, но у меня не достаточно навыков чтобы что-то конкретное об этом сказать. (По возможности можете сказать на что следует обращать внимение и какими утилитами лучше мониторить)

Замечания:
- При установке утилит/софта через pacman иногда занят 80 порт, не знаю связанно это с вирусом или нет.

Можете подсказать какие эффективные меры в обнаружинии, на что нужно обращать внимание при поиске, и какими утилитами можно обнаружить вирус из разряда bootkit/rootkit. Можете так же поделится статьями под arch linux/linux которые могут так же чем то помочь

DrWeb LiveCD, DrWeb workstations.. Антивирус Доктор Веб для линукс имеет веб защиту SpiderGate. ClamAV так себе антивирус.

 

[pisede]

@Phoenix, Спасибо за ответ, хоть думаю что в моем случае антивирус не поможет скорее всего. Но я попробую воспльзоваться вашим вариантом.

 

[Phoenix]

Сканирование утилитами: rkhunter, chkrootkit, clamAV.

Эти утилиты и правда почти бесполезны. Пробуйте нормальные антивирусы - DrWeb, Eset, Comodo..

 

[pisede]

@Phoenix, К сожалению не особо помог DrWeb, нашел из вирусов 2 файла, один из виндовской утилиты, а другой ложно срабатывающий. Другие антивирусы проверять навряд ли буду, так как скорее всего они не помогут не чем. Можете подсказать если вам известны похожие статьи - Поиск и удаление вредоносных программ из Linux - HackWare.ru, то могли бы поделиться или подсказать где еще можно найти похожую информацию


- Из утилиты виндовс
Threat: Trojan.PWS.Gamania.34950 ‌
Isolated: 1/31/24 10:34 PM
Quarantine type: System
Object name: version.dll
Owner: root
Modified: 1/17/24 5:02 PM
Size: 128.82 KB

Origin path:
/usr/lib32/wine/i386-windows/version.dll

- Ложный
Threat: EICAR Test File (NOT a Virus!) ‌
Isolated:
Quarantine type: User

Object name: 1.part
Owner: main
Modified:
Size: 22.36 MB

Origin path:
96-compressed-response-lzma.t/1.part

Detected threats:
1.part/0.file - infected with EICAR Test File (NOT a Virus!)‌

 

[Phoenix]

/usr/lib32/wine/i386-windows/version.dll

это путь к wine. И это вполне опасно. Стоит сменить все пароли от всех аккаунтов, особенно платёжных сервисов. Вы пишите, что переустановка не помогает - дело в том, что машина (ПК) скопроментирована.

Можете подсказать если вам известны похожие статьи

Ничего не понятно, но оочень интересно ? сочувствую.

 

[akok]

Если кроме шуток, то файл стоит отправить в др.веб, пусть разберутся, ложное ли это срабатывание или нет.

 

[Sandor]

Напомню:

Как сообщить о ложном срабатывании антивируса?

Адреса для сообщений о ложном срабатывании антивирусов Представьте, что Вы написали программу, безобидную, безвредную и бесплатную. Пользуетесь ею полгода и тут Ваш любимый антивирус решил ее удалить :) Или: Вы скачали утилиту и по привычке проверяете на сервисе VirusTotal.com, Jotti или...

www.safezone.cc

 

[pisede]

Ничего не понятно, но оочень интересно ? сочувствую.

Эх, там была отправлена ссылка на статью, но видимо ссылку не было видно

 

[pisede]

Если кроме шуток, то файл стоит отправить в др.веб, пусть разберутся, ложное ли это срабатывание или нет.

Спасибо, приму к сведенью

 

[Phoenix]

Эх, там была отправлена ссылка на статью, но видимо ссылку не было видно

Ссылку то видно, но на таком уровне даже не все программисты смогут. Поэтому создают программы.. Так отлавливают вирусы нулевого дня, то есть которые ещё не попали в антивирусные базы. А так просто антивирус ставят и всё.

 

[pisede]

Ссылку то видно, но на таком уровне даже не все программисты смогут. Поэтому создают программы.. Так отлавливают вирусы нулевого дня, то есть которые ещё не попали в антивирусные базы. А так просто антивирус ставят и всё.

Ааа, мне к сожалению антивирус не особо помогает, хотя clamav еще какие то файлы нашел, попробую с ними разобраться понять что к чему, но что то пока не особо понятно, видимо в них какая то бинарная информация

Пример строки из файла:
504b030414000808080062654246000000000000000000000000140004004d4554412d494e462f4d414e49464553542e4d46feca0000f34dcccb4c4b 2d2ed10d4b2d2acecccfb35230d433e0e572cc4312712c484cce4855008a01252df40c79b922749dfd7d7d5dfd42ac1482a2:{HEX}java.backdoor.anno.9

 

[Dragokas]

а другой ложно срабатывающий.

- Ложный
hreat: EICAR Test File (NOT a Virus!)

Ну вообще-то не ложно-срабатывающий. Сам файл безобидный, а его назначение как раз проверять работу антивируса. Если детект есть, значит AV функционирует.