locale.exe und tzset.exe Trojaner in Cygwin

2280
Sinsanator

Ich habe wget heute Morgen aktualisiert und Symantec hat mir von Trojanern in locale.exe und tzset.exe informiert

Bedeutet dies, dass meine cygwin-Installation infiziert ist?

5

4 Antworten auf die Frage

4
tgies

Dies ist höchstwahrscheinlich ein falsches Positiv. Trojan.ADH.2 ist ein Name, den Symantec verwendet, um heuristisch erkannte "unbekannte" Bedrohungen zu identifizieren. Dies sind Dinge, die nicht mit der Signatur einer bekannten Bedrohung übereinstimmen, jedoch über Eigenschaften verfügen, die Symantec verdächtig machen. Eine schnelle Websuche deutet darauf hin, dass Fehlalarme, die diese Bedrohung identifizieren, recht häufig sind. Cygwins FAQ schlägt auch vor, dass ihr Produkt im Allgemeinen dazu neigt, Antivirensoftware zu erschrecken.

Ein Thread in den Norton-Foren enthält Anweisungen zum Wiederherstellen der Dateien aus der Quarantäne, zum Ausschluss zukünftiger Überprüfungen und zum Senden von Beispielen an die Symantec-Techniker, damit diese die Heuristik anpassen können, um diese bestimmte Klasse von falsch positiven Ergebnissen zu vermeiden.

Danke für die Rückmeldung. Ich dachte, das war auch ein falsches Positiv, aber dann fiel mir auf, dass meine SSH-Schlüssel alle auf 777 Zugriff geändert wurden, was mich zu der Annahme führt, dass es sich um eine legitime Infektion handelt. Sinsanator vor 10 Jahren 1
2
Ben Cassell

Ich hatte genau das gleiche Problem, nachdem ich gestern ein Update durchgeführt hatte, aber meine SSH-Schlüssel sind alle in Ordnung. Es ist fast definitiv ein Fehlalarm von Symantec. Leider entschied sich Symantec auch dafür, meine ausführbaren Dateien zu löschen, anstatt sie unter Quarantäne zu stellen.

Für den Fall, dass Sie auf das gleiche Problem gestoßen sind, können Sie diese ausführbaren Dateien erneut installieren, indem Sie das Cygwin-Installationsprogramm erneut ausführen und die Pakete cygwin / coreutils / cygutils erneut installieren.

1
hiroki

Ich habe die falsch positive Anfrage für locale.exe an Symantec übermittelt, und sie haben meine Eingabe überprüft. Sie verteilen neue Definitionen per LiveUpdate, wodurch die Erkennung von locate.exe entfernt wird.

Aber leider hatte ich kein Problem mit tzset.exe, daher ist der Status dieser noch unbekannt ...

1
Chris Kuklewicz

Update vom Juli 2014: Symantec verwendet erneut die (offensichtlich verrückte) Tojan.ADH.2-Heuristik, um Cygwins neueste col.exe, tzset.exe und locale.exe als Viren zu kennzeichnen (für die Quarantäne oder deren Löschung).

Daher hat jedes Lernen, das Symantec letztes Jahr gemacht hat, funktioniert.

Ich habe diese ebenfalls als falsch positiv an Symantec übermittelt, sie haben (erneut?) Bestätigt, dass ihre Tools unberechtigt sind:

Zur Vorlage [3576111].

Nach weiteren Analysen und Untersuchungen haben wir Ihre Einreichung überprüft und daher wird diese Erkennung von unseren Produkten entfernt.

Die aktualisierte Erkennung wird in den nächsten Virendefinitionen verteilt, die über LiveUpdate oder auf unserer Website unter ... verfügbar sind.

Verwandte Probleme