Re: Les cyber menaces basculent vers Linux et les serveurs Web
Le mardi 25 juillet 2017 à 16:20 +0200, Jean Bernon a écrit :
> A Stef : OK pour le texte brut
> A tous : Une consultation plus précise du site de Clamav...
> http://www.clamav.net/documents/potentially-unwanted-applications-pua
> ... confirme que les PUA ne signalent pas des fichiers infectés mais
> des "menaces potentielles" et dans mon cas la configuration par
> défaut de clamtk n'aurait rien signalé. Reste une seule question :
> que faire des PUA ? Les oublier purement et simplement ?
>
> ----- Mail original -----
>
> > De: "VieuxGeek DuSystem" <skazix.git@gmail.com>
> > À: debian-user-french@lists.debian.org
> > Cc: debian-user-french@lists.debian.org
> > Envoyé: Mardi 25 Juillet 2017 15:54:26
> > Objet: Re: Les cyber menaces basculent vers Linux et les serveurs
> > Web
> > Bonjour
> > Ce sont les gros virus malsains qui te force à écrire en html?
> > Je plaisante bien sur, sauf qu'il reste préférable d'écrire sur les
> > listes en text brut :-)
> > Bonne journée
> > Stef
> > Le 25 juillet 2017 à 12:14, Jean Bernon <jbernon@free.fr> a écrit :
> > > Précisions suite à mon précédent post contenant une liste de 22
> > > "menaces
> > > potentielles" trouvées sur mon PC. J'ai utilisé l'interface
> > > graphique de
> > > Clamav, Clamtk, qui comporte des paramètres. Les paramètres par
> > > défaut
> > > n'incluent pas différentes options et j'ai coché toutes les
> > > options
> > > avant de
> > > faire mon analyse, notamment "analyser les logiciels
> > > potentiellement
> > > indésirables" et "analyser les fichiers commençant par un .".
> > > Donc
> > > mon PC
> > > n'est pas infecté, les 22 problèmes signalés sont seulement des
> > > menaces
> > > potentielles. Par précaution j'ai tout de même mis ces 22
> > > fichiers
> > > en
> > > quarantaine simplement pour éviter de les transmettre à d'autres,
> > > car Clamav
> > > semble tout de même bien détecter un virus dormant dans ces
> > > fichiers (?). Ma
> > > précédente analyse portait seulement sur mon répertoire
> > > personnel.
> > > J'en ai
> > > lancé une nouvelle sur tout le PC et je sors encore 88 menaces
> > > potentielles,
> > > quasi toutes dans les librairies de Libre Office. Je les ai aussi
> > > mis en
> > > quarantaine, mais je suis étonné que sur un Ubuntu, avec Libre
> > > Office
> > > installé, on ne retrouve pas les mêmes.
> > >
> > > Un extrait
> > > /usr/lib/libreoffice/share/basic/Tutorials/RoadMap.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/ShowInfoDialog.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/TutorialClose.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/TutorialCreator.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/Functions.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Tutorials/TutorialOpen.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Protect.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/AutoPilotRun.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/ImportWizard/DialogModul.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Soft.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Init.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Hard.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/ConvertRun.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Common.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Euro/Writer.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Test.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/L10N.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Application.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/acConstants.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/ImportWizard/Main.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/_License.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/CommandBarControl.xb
> > > a
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Collect.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/Control.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > > /usr/lib/libreoffice/share/basic/Access2Base/DoCmd.xba
> > > PUA.Doc.Tool.LibreOfficeMacro-2
> > >
> > > ________________________________
> > >
> > > De: "elguero eric" <elgueroeric@yahoo.fr>
> > > À: debian-user-french@lists.debian.org
> > > Envoyé: Mardi 25 Juillet 2017 08:15:45
> > > Objet: Re: Les cyber menaces basculent vers Linux et les serveurs
> > > Web
> > >
> > >
> > > après tous ces messages j'ai flippé
> > > et installé clamav sur un de mes ordis
> > > qui est sous ubuntu. J'ai lancé le scan hier
> > > soir, il a tourné toute la nuit (47819 secondes)
> > > et résultat: rien trouvé. Pourtant c'est un
> > > ubuntu que je ne mets plus à jour depuis longtemps
> > > (version 12.04 et on en est à la 16.04 je crois)
> > > comme quoi même en étant laxiste on ne
> > > court pas trop de risques.
> > >
> > > e.e.
> > >
> > >
> > >
> > >
> > >
>
>
Bonjour
De ce que j'ai lu, Clamav implémente un système d'analyse heuristique
(en plus des signatures). C'est sûrement cette analyse qui déclenche de
potentiels faux positifs.
La nature de cette méthode est (à mon avis) plus sujette à détecter des
faux-positifs, mais elle devient nécessaire vu les techniques de
malwares polymorphiques développées depuis 15 / 20 ans.
Reply to: