Ubuntu日本語フォーラム
ログインしていません。
お知らせ
#1 2011-09-15 10:09:01
- doragon
- メンバ
- 登録日: 2011-01-27
clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
ubuntuを使い始めたばかりの初心者です。windowsではウイルスで痛い目にあっているので、ubuntuでもセキュリティをしっかりとしたいと思っています。そこでclamavをインストールしてファイルとwebのダンロードファイルを定期チェックしたところ、以下に示すような汚染ファイル検出logが出ました。
~/.clamtk/historyのlogファイル
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/D/A6/A401Dd01: PUA.HTML.Infected.WebPage-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/7/7A/1D574d01: PUA.JS.Obfus-3 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/B/2E/22973d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/5/03/41714d01: PUA.Script.Packed-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/6/C6/39B9Fd01: PUA.JS.Obfus-3 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/A/05/D73E5d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/4/E5/FE175d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/2/5C/04CEBd01: PUA.HTML.Infected.WebPage-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/C/72/92369d01: PUA.Script.Packed FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/1/55/9044Ad01: PUA.HTML.Infected.WebPage-2 FOUND
/home/tadao/.mozilla/firefox/v26cheph.default/Cache/3/4E/7BD5Bd01: PUA.JS.Obfus-3 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 1038673
Engine version: 0.97.2
Scanned directories: 1496
Scanned files: 2316
Infected files: 11
Data scanned: 305.10 MB
Data read: 425.63 MB (ratio 0.72:1)
Time: 42.451 sec (0 m 42 s)
これは一例ですが今日は66の汚染ファイルが検出され、日々増加しています。これは異常(脅威)でしょうか、特に問題のない現象でしょうか。みなさんのご意見をお聞かせください。また、このファイルを削除するとすればどうしたら良いでしょうか。
こんな状態なのでメールも心配で、プロバイダーサーバーで徐染するサービスに受けようかと思っています。この場合Gmailなどのwebメールはメーラーを使っている限りウイルスに汚染される可能性はありますよね。
オフライン
#2 2011-09-21 19:08:36
- tantsu
- メンバ
- 登録日: 2010-10-04
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
さぞ、ご心配な事とお察しします。
私も、同じような問題を抱えていまして、詳しい方からのコメントが付くのを待っているのですが、まだコメントが付かないようなので、私が調べた結果を参考までに記してみたいと思います。
※ 私もUbuntu初心者なので、下記はあくまで参考だけに止めてください。 ※
私の ~/.clamtk/historyのlogファイル
/home/takamitsu/ダウンロード/eicarcom2.zip: Eicar-Test-Signature FOUND
/home/takamitsu/デスクトップ/eicar.com.txt: Eicar-Test-Signature FOUND
/home/takamitsu/.local/share/Trash/files/66BD2d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/takamitsu/.mozilla/firefox/zj6xx1u4.default/Cache/F/DB/7DA61d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/takamitsu/.mozilla/firefox/zj6xx1u4.default/Cache/F/D6/B71B2d01: PUA.Script.Packed-1 FOUND
/home/takamitsu/.mozilla/firefox/zj6xx1u4.default/Cache/4/E6/88D5Cd01: PUA.HTML.Infected.WebPage-2 FOUND
/home/takamitsu/.mozilla/firefox/zj6xx1u4.default/Cache/E/0B/D86A1d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/takamitsu/.mozilla/firefox/zj6xx1u4.default/Cache/3/A6/BC911d01: PUA.HTML.Infected.WebPage-2 FOUND
/home/takamitsu/.mozilla/firefox/zj6xx1u4.default/Cache/3/67/3EAB2d01: PUA.HTML.Infected.WebPage-2 FOUND
(以下略)
上の二つ(eicarcom2.zip、eicar.com.txt)は、clamavが正常にウィルスを検知するかどうかテストする為のテスト用ウィルス(もどき)で、
全く無害なものです。
これら二つが、検知されているので、clamavが正常に動作しているのが分かります。
私は、自分なりに次のように調べてみました。
1.ウィルスと判定されたファイルやそれを含むディレクトリを、右クリックして"Scan for viruses..."で
スキャンしても、不思議な事にウィルスは検知されない。
2.次に、"pua html"をキーワードにして、ググりました。
英文のサイトが多くヒットしました(申し訳ないですが、サイトのURLは忘れました)。
その内の或るサイトでは「これはバグなので、Bugzillaに報告したが、まだそのままになっている」と言うような意味が書いてあり、
他のサイトでは「VIRUS TOTAL(http://www.virustotal.com/index.html)」にファイルを送ってみてはどうか」と言うような提言がなされていました。
3.それで、試しに一つのファイルを「VIRUS TOTAL」に送りましたら、「44のアンチウィルスソフトでスキャンした結果、当該ファイルを
マルウェアと判定したのはClamAVだけ」という結果が下記のように返ってきました。
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: 4CD29d01
Submission date: 2011-09-21 07:09:31 (UTC)
Current status: finished
Result: 1/ 44 (2.3%)
Antivirus Version Last Update Result
AhnLab-V3 2011.09.21.00 2011.09.21 -
AntiVir 7.11.14.250 2011.09.20 -
Antiy-AVL 2.0.3.7 2011.09.21 -
Avast 4.8.1351.0 2011.09.18 -
Avast5 5.0.677.0 2011.09.18 -
AVG 10.0.0.1190 2011.09.21 -
BitDefender 7.2 2011.09.21 -
ByteHero 1.0.0.1 2011.09.13 -
CAT-QuickHeal 11.00 2011.09.21 -
ClamAV 0.97.0.0 2011.09.21 PUA.HTML.Infected.WebPage-2
Commtouch 5.3.2.6 2011.09.21 -
Comodo 10185 2011.09.21 -
DrWeb 5.0.2.03300 2011.09.21 -
Emsisoft 5.1.0.11 2011.09.21 -
eSafe 7.0.17.0 2011.09.20 -
eTrust-Vet 36.1.8572 2011.09.20 -
F-Prot 4.6.2.117 2011.09.20 -
F-Secure 9.0.16440.0 2011.09.21 -
Fortinet 4.3.370.0 2011.09.21 -
GData 22 2011.09.21 -
Ikarus T3.1.1.107.0 2011.09.21 -
Jiangmin 13.0.900 2011.09.20 -
K7AntiVirus 9.113.5168 2011.09.20 -
Kaspersky 9.0.0.837 2011.09.21 -
McAfee 5.400.0.1158 2011.09.21 -
McAfee-GW-Edition 2010.1D 2011.09.20 -
Microsoft 1.7604 2011.09.21 -
NOD32 6480 2011.09.21 -
Norman 6.07.11 2011.09.20 -
nProtect 2011-09-20.01 2011.09.20 -
Panda 10.0.3.5 2011.09.20 -
PCTools 8.0.0.5 2011.09.21 -
Prevx 3.0 2011.09.21 -
Rising 23.76.02.01 2011.09.21 -
Sophos 4.69.0 2011.09.21 -
SUPERAntiSpyware 4.40.0.1006 2011.09.21 -
Symantec 20111.2.0.82 2011.09.21 -
TheHacker 6.7.0.1.303 2011.09.21 -
TrendMicro 9.500.0.1008 2011.09.21 -
TrendMicro-HouseCall 9.500.0.1008 2011.09.21 -
VBA32 3.12.16.4 2011.09.20 -
VIPRE 10539 2011.09.21 -
ViRobot 2011.9.21.4680 2011.09.21 -
VirusBuster 14.0.223.0 2011.09.20 -
今回は、Total Virusには一つのファイルしか送っていませんので、それだけで、その結果をどう判断するかは、人それぞれでしょうが、
私は多分ClamAVの過剰検知だろうと判断しています。 そしてもっと詳しい方のコメントが付くのを待っています(笑)。
因みに、件のファイルをダブルクリックで開いてみましたら、Yahoo!オークションのサイトのページでした。
※ 御注意 ※
私の環境(Ubuntu 10.04 64bit, FireFox 6.0.2)では、「Virus Total」のサイトでは、アドオン"NoScript"を
「このページの全てを一時的に許可する」に設定する必要がありました。
更に、「Virus Total」の「ファイルを開く」ダイアログでは、隠しディレクトリは表示されませんでしたので、事前に送りたい
ファイルをデスクトップにコピーしてそこから送りました。
オフライン
#3 2011-09-21 19:42:01
- hito
- 管理者
- 登録日: 2007-03-18
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
ClamAVの結果に不明なことがある場合(とくに、「なんでこれが引っかかるのだろう?」という疑いがある場合)、「なぜそれが引っかかったのか」を調べてみるのが手っ取り早いです。ClamAVの中身は実は「高度に複雑になったgrep」なので、本来疑わしくない文字列であっても引っ掛けてしまうことがありえるからです。
「なぜ引っかかったのか」を調べるには、sigtoolというコマンドを使います。
ちょっと手元にOneiric(11.10)しかないのでOneiric上の結果になりますが、具体的には以下のように、「-f」の後に「ヒットした脅威の名前」を入れて使います。
コード:
$ sigtool -fPUA.HTML.Infected.WebPage-2 | sigtool --decode-sigs
VIRUS NAME: PUA.HTML.Infected.WebPage-2
TARGET TYPE: HTML
OFFSET: *
DECODED SIGNATURE:
</body></html><script
$ sigtool -fPUA.Script.Packed-1 | sigtool --decode-sigs
VIRUS NAME: PUA.Script.Packed-1
TARGET TYPE: HTML
OFFSET: *
DECODED SIGNATURE:
)){while(c--)r[e(c)]=k[c]||e(c);k=[
VIRUS NAME: PUA.Script.Packed-10
TARGET TYPE: NORMALIZED ASCII TEXT
OFFSET: *
DECODED SIGNATURE:
eval(gzinflate(str_rot13(base64_decode(で、この結果から考えると、PUA.HTML.Infected.WebPage-2の方はhtmlエレメントが終了したあとにscriptが続いている場合にヒットし(Webページ上、よくありそう)、後者の方は難読化のために圧縮&自動展開がセットされたスクリプトがあるとヒットしそうだ、ということがなんとなく推定できます。これらはどちらも単体では、「Webページの中には正規なものでもヒットしそう」「そのまま何か悪意あるソフトウェアの存在を示唆するものではない」ということも論理的に導けるので、Firefoxのキャッシュディレクトリから出てくる以上はあまり気にしなくてよさそうだ、というのが結論になります。
同時により強力な「なにか」がヒットしていると少し考える必要がありそうですが、今回の場合は「Webページで良くある工夫の一種(ただし、あまり好ましくはない)」を引っ掛けてしまった、と考えてよさそうです。
あとは、「PUA」って何、という疑問が残るかと思いますが、こちらは以下を読んでみてください。
http://www.clamav.net/lang/en/faq/pua/
オフライン
#4 2011-09-22 00:45:52
- tantsu
- メンバ
- 登録日: 2010-10-04
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
hito様、早々の御投稿、有難うございました。
ClamAVの結果に不明なことがある場合の考え方と、sigtoolというコマンドの使用例は大変勉強になりました。
$ sigtool の実行結果は、私の場合(Lucid 10.04)もhito様の結果と全く同じになりました。
私が持っているレファレンスブックには「sigtool」コマンドは載っていなかったので、manや--helpを
見たのですが、一見して目が眩みました(笑)。
今後は、取り敢えず、$ sigtool -f「ヒットした脅威の名前」 | sigtool --decode-sigs と唱える事にします。
PUAに関しましても、 http://www.clamav.net/lang/en/faq/pua/ がそのものずばりのページで大変参考になりました。
hito様には、大変有益な情報を教えて頂きまして有難うございました。
doragon様には、貴投稿に便乗する結果となったようでして、大変失礼致しました。
オフライン
#5 2011-09-23 17:29:40
- hoc_age
- メンバ
- 登録日: 2010-12-30
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
ClamAV スキャンでPDFファイル(Heuristics.Encrypted.PDF)が
「発見した脅威」として検出され、早速 sigtool コマンドを試しました。
これには無反応でした。ClamAV のアップデート待ちなのでしょう。
オフライン
#6 2011-09-24 15:06:07
- doragon
- メンバ
- 登録日: 2011-01-27
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
しばらく反応がなかっので検討ハズレの投稿をしてしまったかなという思いと、不安を抱えたまま使い続けるわけもいかないので、しばらくwindowsに回帰していました。返事が遅れたことをお詫びします。
tantsuさん呼び水となる記事を投稿していただきありがとうございます。貴重な体験談は大変参考になりました。このような体験談を多数期待していたのですが・・・・・。tantsuさんのような人が本当のubuntuユーザーですね。windowsで内外からのセキュリテイで守られた(それでも安全とは言えないようですが)環境でPCを使い続けた人間として、安全のために自ら調査・検疫するということは思いもよりませんでした。windousからubuntuへシフトしようかと考えた矢先ですが、Linuxは私には敷居が高そうに思われます。
tantsuさん、hitoさんの記事からWebのキャッシュファイルがclamavに検出されたことは問題なさそうですが(sigtoolを使っていくつかのclamav応答を調べてみました)、もしウイルスが検出された場合その処置はどうすればば良いのでしょうか。ウイルスと言えばワクチンが思い浮かびますが、削除するだけで(ゴミ箱へ入れる)大丈夫なのでしょうか。初心者的質問で申し訳ありませんが、ご教示いただければ幸いです。
オフライン
#7 2011-09-28 18:47:43
- tantsu
- メンバ
- 登録日: 2010-10-04
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
doragon による投稿:
tantsuさん呼び水となる記事を投稿していただきありがとうございます。貴重な体験談は大変参考になりました。このような体験談を多数期待していたのですが・・・・・。tantsuさんのような人が本当のubuntuユーザーですね。
私の投稿が少しでもお役に立てたとしたら、私も嬉しいです。
doragonさん、私も同じように、他の方の体験談を多数期待しているのですが、なかなか来ないですね。
ウィルスの問題は広範囲にわたるので、簡潔に投稿するのが難しいのかもしれませんね。
私は、doragonさんが仰るような「本当のubuntuユーザー」などではなく、一介のUbuntu初心者です。
ですから、以下も、全面的に信用するのではなく、参考程度に読んで下さい。
セキュリティ対策は、WindowdsでもUbuntuでも、基本的な考え方は同じだと思います。
OS、ウィルス対策ソフト、アプリケーションのアップデートを欠かさず、常に最新の状態にしておくこと、そして定期的にウィルススキャンする事が肝要かと思います。
doragon による投稿:
もしウイルスが検出された場合その処置はどうすればば良いのでしょうか。ウイルスと言えばワクチンが思い浮かびますが、削除するだけで(ゴミ箱へ入れる)大丈夫なのでしょうか。
ウィルスが検出されるという事は、何らかのウィルス対策ソフトを起動していて、「検出した」というメッセージがそのウィルス対策ソフトから表示されたという事ですから、その後の処置はそのウィルス対策ソフトが推奨する方法を採るのが安全だと思います。
例えば、Ubuntuで[アプリケーション]-[システムツール]-[KlamAv]で私のデスクトップをスキャンすると、テスト用のウィルスもどきファイル「eicar.com.txt」をウィルスと検知して
I'm going to quarantine this lot, you can restore them later if you want.
If you don't want to quarantine, just press cancel.
というメッセージと共に 「Quarantine」ボタンと「Cancel」ボタンが表示されます。
この時、ご心配なら、取り敢えずは、「Quarantine」ボタンを押して隔離しておいてから、そのウィルスと疑われるものをネット検索して、その後の処置を決めても良いと思います(あくまで個人的な考えです)。
単に「削除するだけで(ゴミ箱へ入れる)」では、不十分で危険だと思います。 その方法では最悪の場合はOSが起動しなくなる可能性があると思っています。
ウイルスの正しい除去方法は、そのウィルスの種類によって異なっているはずです。
有償のウィルス対策ソフトでは、具体的な方法は、その対策ソフトメーカーのサイトに載っていると思います。
無償の対策ソフトでも、ヘルプやネット検索で分かると思います。
私は、ウィルスが検知されたら、取り敢えず、そのファイルを#2で書きました「VIRUS TOTAL(http://www.virustotal.com/index.html)」に
送って、判断するようにしています。
どんなウィルス対策ソフトでも、完璧なものはありません。
2年ほど前、こんな事がありました。
Windows Vistaにインストールした対策ソフトAvast!が、ウィルスに感染した2個のファイル(地デジキャプチャソフト)を検知しました。
私は、誤検知だと思いましたが、念の為「VIRUS TOTAL」にそのファイルを送信して、他の対策ソフトでもスキャンしてもらいました。
その結果、数種類の対策ソフトはウィルスと判定し、残りの大多数の対策ソフトは「白」と判定しました。
その比率から見て、私は、Avast!の誤検知と判断して、そのまま使い続けました。 それから約1ヶ月後、Avast!の後検知は突然止まりました。
Avast!のウィルス定義ファイルが正しく修正された為だと思っています。
このようなこともあるので、普段のウィルス対策をきっちりしていれば、一つの対策ソフトが「ウィルス検出!」と警告しても、慌てることは無いと思います。
一般的に、OSの普及率の関係で、Linuxを標的にするウィルスは、Windowsを標的にするウィルスより格段に数が少ないので、Linuxが感染する確率もかなり小さいと思っています。 但し、Linuxが媒介となってWindowsを標的にしたウィルスを拡散させることがあるようなので、Linuxといえども、ウィルス対策は必要だと思っています。
取り留めの無い投稿になりましたが、何かの参考になれば、幸いです。
doragon による投稿:
windousからubuntuへシフトしようかと考えた矢先ですが、Linuxは私には敷居が高そうに思われます。
せっかく、Ubuntuに足を踏み入れたのですから、もう少し一緒に頑張りませんか。 私も未だ未だですが…。
オフライン
#8 2011-09-30 21:59:35
- doragon
- メンバ
- 登録日: 2011-01-27
Re: clamavのファイルチェックでFirefox cacheに多量の汚染ファイルが検出!!
tantsuさん、再度の貴重な体験とアドバイスありがとうございます。
私は現在Windows 7でNorton Internet Securityを使っています。これは脅威を検出するとリアルタイムで、脅威の内容と処置を表示します。また、月次報告で検出された履歴と処置を報告します。その数の多さにびっくりすると同時に、これはセキュリティ会社の誇大表示では?(利用の必要性を強調するための)と疑いたくなります。一方、tantsuさんの書かれたことやこれを書く前にこのフォーラムの記事を検索した結果を見るとLinuxの世界では、自己責任で自己処理するのがあたりまえということのようですね。むしろそれを楽しんでいる?とも受け取れるのですが。
一般ユーザーはPCは仕事または生活のためのツールとして使っているので、安全性からも時間的にも、検出と調査を自分で行うには難しいのではと思います。Linuxがwindowsに変わってメジャーになるには使いやすさと安全性が担保されることが肝要に思われますが・・・。使いやすさの点では、GNOMEが出たての頃から比べるとずいぶん使い易くなり、あとは安全性を保証してくれることかなと思います(windowsでは無償のアンチウイルスソフトessentialsを提供しおり、私も古いXPマシンに使っています)。windowsとubuntuでは背景が違うので比較はできませんが。
愚痴を言いましたが、これからも皆さんのアドバイスをいただきながらubuntuに挑戦していこうと思います。
オフライン
2007年10月11日以降の投稿は、クリエイティブ・コモンズ-表示-継承-3.0 (Cc-by-sa-3.0)で提供されます。
著作権等の他者の権利を不当に侵害するような投稿、特定の個人や団体などへの誹謗中傷を含む投稿、個人情報を含む投稿など、違法性のある投稿は行わないでください。
Ubuntu and Canonical are registered trademarks of Canonical Ltd.