locale.exe ve tzset.exe Truva atları Cygwin'de


5

Bu sabah wget güncellemesi yapıyordum ve Symantec bana locale.exe ve tzset.exe'de tespit edilen truva atlarını bildirdi.

Bu, cygwin kurulumuma virüs bulaştığı anlamına mı geliyor?

Yanıtlar:


4

Bu büyük olasılıkla yanlış bir pozitif. Trojan.ADH.2 , Symantec'in sezgisel olarak tespit edilen "bilinmeyen" tehditleri tanımlamak için kullandığı bir addır - yani bilinen herhangi bir tehdidin imzasıyla eşleşmeyen ancak Symantec'i şüpheli kılan özelliklere sahip olan şeyler. Hızlı bir web araması, bu tehdidi tanımlayan yanlış pozitiflerin oldukça yaygın olduğunu göstermektedir. Cygwin'in Sıkça Sorulan Sorular ayrıca, ürünlerinin genel olarak antivirüs yazılımlarını gizleme eğiliminde olduğunu öne sürüyor.

Norton forumlarındaki bir konu , dosyaları karantinadan geri yükleme, dosyaları gelecekteki taramanın dışında bırakma ve Symantec mühendislerine örneklerini gönderme talimatlarını içerir; böylece belirli bir yanlış pozitif sınıfından kaçınmak için buluşsal düzenlemeyi ayarlayabilirler.


1
Geri dönüşünüz için teşekkür ederiz. Bunun da yanlış bir pozitif olduğunu düşünüyordum, ancak ssh anahtarlarımın hepsinin 777 erişimine değiştirildiğini fark ettim, bu da okunaklı bir enfeksiyon olduğuna inanmamı sağladı.
Sinsanator

2

Dün güncelledikten sonra da aynı sorunu yaşadım, ancak SSH anahtarlarım iyi durumda. Symantec'ten neredeyse kesinlikle yanlış bir pozitif. Maalesef Symantec ayrıca çalıştırılabilir dosyalarımı karantinaya almak yerine --delete etmeye karar verdi.

Aynı sorunla karşılaştığınızda, Cygwin yükleyiciyi yeniden kullanarak ve cygwin / coreutils / cygutils paketlerini yeniden kurmayı seçerek bu yürütülebilir dosyaları yeniden yükleyebilirsiniz.


1

Locale.exe için yanlış pozitif isteği Symantec'e gönderdim ve gönderimi doğruladılar. Yeni tanımları LiveUpdate tarafından dağıtırlar cadı locate.exe için algılamayı kaldırır.

Ama üzgünüm, tzset.exe ile bir sorunum olmadı, bu yüzden bu durumun durumu hala bilinmiyor ...


1

Temmuz 2014'ten itibaren güncelleme: Symantec, Cygwin'in en son col.exe, tzset.exe ve locale.exe'yi virüs olarak etiketlemek için (tabii ki çılgın) Tojan.ADH.2 buluşmasını tekrar kullanıyor (karantina veya silme işlemi için).

Bu yüzden, Symantec'in geçen yıl yaptığı herhangi bir öğrenim işe yaradı.

Bunları Symantec'e yanlış pozitif olarak da gönderdim, araçlarının sahte olduğunu doğruladılar (yine mi?):

Sunumla ilgili olarak [3576111].

Daha ayrıntılı analiz ve incelemelerden sonra başvurunuzu doğruladık ve bu tespit ürünlerimizden kaldırılacak.

Güncellenmiş algılama, LiveUpdate aracılığıyla veya web sitemizdeki ...

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.