Trojan no Debian? (RESOLVIDO)

StanislausK
(usa FreeBSD)

Enviado em 16/07/2018 - 16:02h

Ola,

eu faço uso do Clamav/Clamtk, usando normalmente no pen-drive; de vez em quando passo também no /home e na /.

Hoje, eu resolvi passar na / e por incrível que pareça deu resultado positivo (não é PUA):

/usr/bin/systemd-mount Unix.Trojan.Vali-6606621-0

Eu tenho dois computadores com Debian 9 (Xfce e Gnome), e no VirtualBox tenho: Arch Linux (Xfce), Slackware 14.2 (Fluxbox), Debian 9 (Gnome), Lubuntu 18.04, Ubuntu 16.04 (Gnome), CentOS 7 (Gnome), Fedora 27 (Gnome) e Linux Mint 19 (Mate).

O arquivo systemd-mount tem no Arch Linux, Debian, Lubuntu, Fedora e Linux Mint. Resolvi passar em todos eles o Clamav. O resultado: no Arch Linux, Fedora, Lubuntu e Linux Mint deu negativo. Apenas no Debian deu positivo, tanto nos dois computadores como na máquina virtual! Nos três, a data de modificação desse arquivo consta como 13/06/2018. Nas outras distros as datas de modificação são diferentes: Lubuntu e Linux Mint (20/04/2018), Arch Linux (22/06/2018) e no Fedora (04/05/2018).

Segue uma breve descrição desse Trojan: "Unix.trojan.vali-6606621-0 is severe Trojan Horse which find system security bugs on target system and helps virus maker transfer infections into it. Unix.trojan.vali-6606621-0 is mainly distributed via spam email, free software and links on websites compromised by virus maker. After it infiltrates your system, lots of malicious files will be added to random folders of your PC, then your hard drives’ space will be eaten up and the entire system will become sluggish. Moreover, CPU and RAM space will be highly consumed by redundant processes generated by Unix.trojan.vali-6606621-0. Unix.trojan.vali-6606621-0 will also help more PC threats attack your PC, such as adware which bombards you with annoying popups and hijacker which takes over your browsers to benefit its ads partners."
Fonte: https://hotvirusmalwareremoval.com/remove-unix-trojan-vali-6606621-0-completely-simple-guide/


Do pessoal que usa Debian e que faz uso de anti-virus, vocês perceberam isso também? Eu somente uso os repositórios oficiais do Debian! Por favor verifiquem se vocês também tem esse trojan!

Será algo grave? Os meus computadores estão funcionando sem problemas. Acredito que não seja um erro do Clamav, pois somente no Debian deu resultado positivo, com as outras distros mencionadas dando um resultado negativo. E a única coisa em comum desses três Debian é as atualizações que faço.

Henrique-RJ
(usa Outra)

Enviado em 16/07/2018 - 17:30h

Pode ser um falso positivo .

Upa esse arquivo para o VirusTotal e nos diz o resultado.

Henrique-RJ
(usa Outra)

Enviado em 16/07/2018 - 19:03h

Posso estar enganado mas alguém disse que o systemd seria algo semelhante ao registro do Windows. Então, pode ser algum código encontrado nele que esteja confundindo o antivírus fazendo-o considerar ser um trojan por semelhança com o real isto é, um falso positivo.

StanislausK
(usa FreeBSD)

Enviado em 16/07/2018 - 23:34h

Ola,

fiz o teste no Virus Total e apenas o Clamav está dando positivo no arquivo systemd-mount. Mas fica a questão do porque apenas no Debian, e nao nas demais distros que mencionei.

ricardogroetaers
(usa Linux Mint)

Enviado em 16/07/2018 - 23:56h

Meu Mint (e o computador inteiro) não tem esse arquivo.
https://i.imgur.com/t6DFDIc.png

Henrique-RJ
(usa Outra)

Enviado em 17/07/2018 - 02:08h

A possibilidade de ser um falso positivo é alta já que só o ClamAV o detecta.

Tenta abrir esse arquivo em modo texto, caso não seja muito grande, e deixa aqui o conteúdo para vermos se há algo que possa estar disparando essa detecção.

removido
(usa Nenhuma)

Enviado em 17/07/2018 - 06:18h

No meu caso, o Unix.trojan.vali está se replicando, estou fazendo um backup de tudo pois vou apagar todo linux e terei que instalar do zero pelo visto... O tal chronus foi detectado com um vírus perigoso e parece ser algo novo, não tem nada sobre ele.

Henrique-RJ
(usa Outra)

Enviado em 17/07/2018 - 06:30h

Deixa aqui o link do teste no VirusTotal para avaliarmos pois pode ser apenas um adware ou coisa de baixo risco.

zezaocapoeira
(usa Slackware)

Enviado em 17/07/2018 - 06:44h

Salve @StanislausK .

Entre em contato com equipe de desenvolvimento da distribuição que usa, exemplo :

https://wiki.debian.org/Teams/Security

Deste modo , terá um feedback da origem desses arquivos.

Obrigado pela atenção, salve!!!