win32 tenga.gen virus

Ubuntu Linux

Sziasztok,

Segítségeteket szeretném kérni egy érdekes hibával kapcsolatban.
Adott egy Ubuntu Server 12.04, amely routerként, AP ként, nas ként és torrent kliensként is üzemel, a samba megosztásra ha felteszek valami programot, akkor 2-3 nap múlva a vírusirtók beriasztanak rá, hogy win32 tenga.gen vírust találtak. A szerveren Clamav fut, de nem veszi észre ezeket a fertőzéseket. Szerintetek hol kezdjem a hiba keresését?

  • 4574 megtekintés

( Croc | 2012. 10. 05., p – 22:51 )

Mondjuk a kliensek átnézésével kezdheted :)
Lehetöség szerint valami "jobb", nevesebb vírusírtóval, akár annak próbaváltozatával is futtathatsz teszteket a klienseken. Söt akár spyware írtót is futtathatsz a klienseken, az sem árt. Valószínü nem a Linux fertözte meg önmagát :)

Akkor próbálj meg még pár dolgot:
Viprescue - konzolos víruskergető és eltávolító
Combofix - Trójai kergető
gmer - rootkit kergető

Azt érdemes lenne megnézni, hogy nem-e valamelyik külső adathordozóról kerül vissza a vírus, vagy esetleg lehet az is, hogy a samba serveren egy régebbi mentésből visszamásolt read-only fájl lenne az amit nem tud eltakarítani az antivírus és a megnyitogatásával visszafertőzi a gépet.

Nincs egyedül a kolléga, első linuxos próbálkozásomkor én is benéztem ugyanezt, annyi különbséggel, hogy nekem ugyan volt egy SOHO routerem, csak fel volt véve DMZ-be a gépem. Nem is igazán értem egyébként, miért az a default beállítás a samba-ban, hogy mindenféle IP-ről enged csatlakozni.
Nálam annyival volt jobb a helyzet, hogy legalább a megosztások védve voltak tűrhető erősségű jelszavakkal.

( agostonl | 2012. 10. 06., szo – 05:23 )

Első körben próbáld meg kiszűrni, hogy a Samba megosztásba ki az aki a vírusos állományt felmásolja, vagy melyik gép módosította az általad felmásolt állományt.
Ha ez megvan, támadd be a kliens gépet egy Combofix-el, és ha nincs, vagy gagyi a vírusirtója, akkor legalább egy M$ Security Essentials legyen rajta, ha más nem!
A másik helyszín, ahol bejöhet a mocsok, a torrent kliensed.

Közben utánanéztem ennek a dögnek és én még rákeresnék a klienseken a %TEMP%\Perflib_Perfdata_2ac.dat állományra, ahol megvan, ott vírusos a gép.

Egyébként még lehetne registry-be is keresgélni, az adott link alapján.

"Értem én, hogy villanyos autó, de mi hajtja?"

( blueghost | 2012. 10. 08., h – 11:33 )

vfs objects = full_audit beállítással engedélyezd a logolást a megosztáson, így egyből kiszűrhető, hogy melyik fájlt mikor és ki módosította.

+ még ez is kell hozzá:

# Audit settings
full_audit:prefix = %I
full_audit:success = open
full_audit:failure = none