나는 Clamav를 사용하여 다음과 같이 내 시스템 중 하나를 스캔하고 있습니다.
$ clamscan -r -i --remove --max-filesize=4000M --max-scansize=4000M \
--exclude=/proc --exclude=/sys --exclude=/dev --bytecode-timeout=190000
방금 내 다운로드 디렉토리에서 바이러스를 발견했습니다.
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
이 악성코드는 어떤 피해를 입힐 수 있나요?
이 파일을 오라클 공식 홈페이지에서 다운로드했는데, 어떻게 감염됐는지 이해가 안 되네요. 이 파일이 내 시스템에 저장되고 내가 Fedora에 악성 코드를 설치하기 전에 누군가 이 파일을 조작했습니까?
시스템에서 문제가 되는 Java를 제거하고 저장소에서 openjdk를 활성화했습니다.
정보신탁:
발췌:
CVE-2013-2472 Oracle Java SE의 Java Runtime Environment 구성 요소(하위 구성 요소: 2D)에 있는 취약점입니다. 영향을 받는 지원 버전에는 7 업데이트 21 이하, 6 업데이트 45 이하, 5.0 업데이트 45 이하가 포함됩니다. 쉽게 악용될 수 있는 취약점으로 인해 여러 프로토콜을 통해 인증되지 않은 네트워크 공격이 성공할 수 있습니다. 이 취약점에 대한 공격이 성공하면 임의 코드 실행을 포함하여 무단 운영 체제 탈취가 발생할 수 있습니다.
참고: Java 클라이언트 배포에만 적용됩니다. 이 취약점은 샌드박스 Java Web Start 응용 프로그램 및 샌드박스 Java 애플릿을 통해서만 악용될 수 있습니다.
CVSS 기본 점수 10.0(기밀성, 무결성 및 가용성 영향) CVSS V2 벡터: (AV:N/AC:L/Au:N/C:C/I:C/A:C). (전설) [상담]
이거 무슨 프로그램인가요? 리눅스 바이러스인가요? "무단 운영 체제 탈취 발생"을 참고하세요.
편집 #1
스캔 결과는 다음과 같습니다.
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Unix.Trojan.MSShellcode-21 FOUND
/usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Removed.
----------- SCAN SUMMARY -----------
Known viruses: 3791398
Engine version: 0.98.6
Scanned directories: 103265
Scanned files: 746031
Infected files: 2
Total errors: 18624
Data scanned: 330294.49 MB
Data read: 367850.33 MB (ratio 0.90:1)
Time: 33458.657 sec (557 m 38 s)
17 April 2015
ClamAV는 @dhag에 따르면 두 가지 감염이 있다고 말합니다. 하나는 Java의 악용/취약성입니다... 스캔 시 종종 nmap 디렉토리에서 스크립트를 제거하는 이유가 궁금합니다. 나는 이것이 악성코드는 아니지만 스크립트의 기능과 관련이 있다고 생각합니다.
답변1
이 메시지는 Java.Exploit.CVE_2013_2472 FOUND
설치 프로그램이 귀하의 게시물에 설명된 보안 버그의 영향을 받는 Java 버전용이라는 의미로 해석됩니다.
그렇다면 이는 전혀 바이러스가 아니며 합법적이지만 위험한 소프트웨어일 뿐입니다. ClamAV의 메시지는 약간 혼란스럽고 영향을 받은 파일을 삭제하는 것이 가장 현명한 방법은 아닐 수도 있지만 논쟁의 여지가 있습니다.