[ClamAV] [Mint] - 690 Ameaças encontradas

rxtheodoro
(usa Linux Mint)

Enviado em 12/09/2019 - 22:11h

Olá!

Depois de quase um ano usando Linux Mint resolvi passar um anti-vírus.

O ClamAV (usei pela interface ClamTK) encontrou 690 ameaças !

Muitos trojans no iTunes, em uma pasta que não lembro, e apareceu avisos no LibreOffice.

Tenho duas perguntas:
1) Como fazer para remover todos de uma vez ? Pelo TK só dava pra ir um por um e o programa ainda fechou sozinho antes de eu terminar. Tive que mandar passar de novo.
2) É normal encontrar tanta coisa assim ? É perigoso?

E, pra finalizar, recomendam algum outro anti-vírus ?

Henrique-RJ
(usa Outra)

Enviado em 13/09/2019 - 01:59h

Baixa e instala o Sophos versão free para Linux que considero muito melhor que o ClamAV e faz uma varredura pra ver se confirma. Depois é tentar remover esses vírus usando comandos no terminal ( é tudo por terminal na versão free que já teve interface por navegador mas hoje não tem mais ). Aliás, na própria varredura acho que você pode até configurar ela para te perguntar se quer remover as infecções automaticamente mas tem que consultar o manual dele.

Esse antivírus é inglês e o governo de lá exige um rápido cadastro para baixar ele, isso tudo dentro do site da Sophos. Depois você deixa o instalador guardado caso necessite reinstalar por qualquer motivo. Eu uso esse antivírus em duas máquinas e o escolhi principalmente por ele ficar ativo em tempo real escaneando até os objetos dos sites conforme você navega ( costumo usar este link de teste da Sophos dos meus favoritos antes de navegar para ver se ele está operante: http://sophostest.com/eicar/index.html ).

Ele atualiza automaticamente a cada 4h se não me engano mas eu preferi executar um comando desativando essa função e assim sempre o atualizo manualmente antes de começar a usar o sistema assim como este último também é atualizado por terminal. Vez por outra executo uma varredura com ele pra saber se está tudo OK.

ricardogroetaers
(usa Linux Mint)

Enviado em 14/09/2019 - 19:26h

Eu não gosto de Clamav.
Clamav vê cabelo em ovo.
Se habilitar detecção de PUAs, Clamav vai implicar com tudo que é atalho.
Se não implicar também com arquivos compactados auto extratores.
Cuidado para não deletar algo importante e inofensivo por causa do Clamav.

Eu uso Comodo e estou satisfeito.

Matty
(usa Arch Linux)

Enviado em 14/09/2019 - 19:45h

690 ameaças encontradas? Duvido muito. Muito provavelmente são falsos-positivos! PUAs ou qualquer outra coisa...
O ClamAV tem fama de ver ameaça em tudo, por isso não aconselho o uso.
Por via das duvidas, sempre é gerado um log, tente acessar este log mais detalhado das tais "ameaças".

Henrique-RJ
(usa Outra)

Enviado em 15/09/2019 - 04:44h

Aqui no Sophos versão free tem essa opção de incluir a detecção de PUA e de suspicious no scan executado pelo terminal e nunca encontra nada a não ser um PUA que capturei da internet e que o tenho guardado nos documentos.

O antivírus da Comodo já usei no Linux mas não rodou bem além de provável taxa de detecção inferior em relação ao Sophos. Outra coisa é que o da Comodo não escaneia os objetos da web ( js, html, ccs, php, etc etc etc ) que passam pelo cache do Firefox e o da Sophos sim.

pinduvoz
(usa Debian)

Enviado em 15/09/2019 - 05:16h

Fui convencido a testar esse Sophos. Já estou baixando (são mais de 300 megas).

Henrique-RJ
(usa Outra)

Enviado em 15/09/2019 - 05:55h

Acho que tu vai gostar pindu ...

Uma dica importante que descobri para evitar que o Sophos consuma muito processamento é fazer com que o processo savscand não rode em duplicidade que ainda não sei porque ele faz isso. Para isso use as linhas de comando em modo root:

/opt/sophos-av/bin/savconfig set DisableFanotify false ( use no lugar de set o get para saber se ativou ou não )

/opt/sophos-av/bin/savconfig set PreferFanotify false ( use no lugar de set o get para saber se ativou ou não )

Esse antivírus costuma se atualizar poucos minutos após a inicialização/boot e por serem minhas máquinas muito antigas preferi desativar o modo automático sendo obrigado a atualizar manualmente com a execução de uma linha de código em modo root mudando sua config padrão de novo:

/opt/sophos-av/bin/savconfig set EnableAutoUpdating false ( use no lugar de set o get para saber se ativou ou não )

Tem a linha de comando caso queira alterar o período de auto atualização que o padrão acho que é a cada 4h também em modo root no terminal:

/opt/sophos-av/bin/savconfig set UpdatePeriodMinutes xxxx ( use no lugar de set o get para saber se ativou ou não )

Toda a vez que ele atualizava causava uma certa lentidão no sistema e por isso desativei a auto atualização fazendo a mesma junto com a do sistema logo ao iniciar o uso do PC pelo terminal usando os comandos abaixo em root:

/opt/sophos-av/bin/savupdate

/opt/sophos-av/bin/savdctl disable ( isto para desativar a detecção em tempo real para evitar o risco de falso positivo na atualização do sistema e causar um crash ).

/opt/sophos-av/bin/savdctl enable ( depois volto a ativar o escaneamento em tempo real com esta linha ).

E sempre depois dessa atualização testo o antivírus com o link abaixo da própria Sophos confirmando se está ativo e escaneando tudo principalmente o cache do navegador:

http://sophostest.com/eicar/index.html

Tudo isso é bem divertido pra mim e me traz uma certa sensação de segurança no uso do Linux mas ainda vou procurar saber no fórum deles em inglês pra que dois processos savscand rodando ao mesmo tempo.

Para instalar é só descompactar o pacote instalador dele e executar o install.sh que vem no pacote em modo root no terminal e responder ao que ele pedir sempre em inglês.

Está aí a papinha ...

Boa diversão !!!

Bom dia

Obs.: TEXTO ACIMA CORRIGIDO

Obs2: ele é bem fraco contra sites falsos ou os chamados phishing ficando esta detecção a cargo do navegador com sua malicious list.

rxtheodoro
(usa Linux Mint)

Enviado em 17/09/2019 - 18:23h

Encontrado 533 possível ameaças (123302 arquivos verificado).

/home/rtheodoro/.steam/legacycompat/iscriptevaluator.exe PUA.Win.Downloader.Aiis-6803892-0
/home/rtheodoro/.steam/legacycompat/Steam.dll PUA.Win.Downloader.Aiis-6803892-0
/home/rtheodoro/.wine/drive_c/Program Files (x86)/Common Files/Apple/Apple Application Support/libicuin.dll PUA.Win.Trojan.Generic-6629273-0
/home/rtheodoro/.wine/drive_c/Program Files (x86)/Common Files/Apple/Apple Application Support/pthreadVC2.dll PUA.Win.Trojan.Generic-6629273-0
/home/rtheodoro/.wine/drive_c/Program Files (x86)/Common Files/Apple/Apple Application Support/libdispatch.dll PUA.Win.Trojan.Generic-6629273-0
/home/rtheodoro/.wine/drive_c/Program Files (x86)/Common Files/Apple/Apple Application Support/zlib1.dll PUA.Win.Trojan.Generic-6629273-0

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Não vou postar tudo para não floodar, mas os resultados são tipo isso.
Baixei esse Sophos, mas ele veio como .iso, fiz certo ?

ricardogroetaers
(usa Linux Mint)

Enviado em 17/09/2019 - 18:31h

Mais claro, só a água.

albfneto
(usa openSUSE)

Enviado em 17/09/2019 - 20:49h

Olha, tem muita coisa com vírus aparecendo do wine. são arquivos de windows. Eu usaria o Comodo.

Não uso muito Wine, mas meus linux, uso a 11 anos. Nunca peguei um virus verdadeiro em linux, só falso positivo...

peguei alguns addware e malware, mas o navegador pega , não o linux.

¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.

Henrique-RJ
(usa Outra)

Enviado em 18/09/2019 - 03:07h

Desculpe pela demora que só agora pude lhe responder ( vida meio atribulada ).

Para Linux não é ISO, é um arquivo compactado em extensão usada nessa plataforma mas primeiro você tem que fazer um cadastro rápido em inglês para ter o download liberado pois é exigência do governo britânico provavelmente para monitorar terroristas ou tráfico de drogas ou cyber criminosos mundiais sabe como é que é né, ninguém quer entrar em um lugar e virar pedacinhos de carne e sangue por estourar uma bomba de uma fanática islâmica ( eu disse FANÁTICA ) que a trouxe escondida na cintura ou termos políticos envolvidos com o tráfico de drogas fazendo seus negócios com os impostos que pagamos e ainda ter nossos documentos do computador sendo sequestrados por criptografia mediante resgate em dólares ou quem sabe blackoute no país inteiro por causa de hacker brincando de tinhoso.

Tenho que lembrar essas coisas pois até eu no início e outro aqui no fórum não gostou de ter que repassar alguns dados seus ao governo inglês. Sabe que nem sempre os governantes fazem só coisas contra a população né. Abaixo um link direto para iniciar os procedimentos de cadastro e download. Depois que tiver o pacote de instalação deixe-o na sua pasta de downloads pois pode haver necessidade de usar de novo e não ter que fazer tudo novamente.

https://secure2.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux/download.aspx

Só lamento lhe dizer que em modo free não tem interface gráfica tipo o Comodo para Linux mas certamente é bem melhor que este último que é muito encrencado tendo que fazer uso até de gambiarra criada por um jovem japonês
senão a bagaça nem funcionava sem falar na detecção que também é melhor.

Pigarro
(usa Outra)

Enviado em 19/09/2019 - 21:09h

Podias criar uma dica ou artigo, seria bem útil Henrique!!