Estou com possíveis malwares em meu Antergos?

R0ger0x
(usa Antergos)

Enviado em 21/07/2018 - 13:04h

Boas pessoal, estou necessitado de ajuda urgente, instalei o clamav por precaução e o mesmo detetou 14 ficheiros possivelmente infectados.

Eis os ficheiros:
/dev/tty60: Unix.Trojan.Magnus FOUND
/usr/bin/chroot: Linux.Trojan.Agent FOUND
/usr/bin/openal-info: Unix.Trojan.Vali FOUND
/usr/bin/fplight: Unix.Trojan.Vali FOUND
/usr/bin/rsync: Linux.Trojan.Agent FOUND
/usr/lib/chromium-browser/chromium-browser: Unix.Trojan.Mirai FOUND
/usr/lib/firmware/gcc: Linux.Trojan.Agent FOUND
/usr/lib/libaccountsservice.so.0.0.0: Linux.Trojan.Agent FOUND
/usr/lib/libassuan.so.0: Linux.Trojan.Agent FOUND
/usr/lib/coreutils/libstdbuf.so: Linux.Trojan.Agent FOUND
/usr/lib/gnupg/gpg-preset-passphrase: Perl.Shellbot-8 FOUND
/usr/lib/libQt5Script.so: Unix.Trojan.Zeta FOUND
/usr/share/fzf/completion.zsh: Unix.Trojan.Zeta FOUND
/usr/share/xml/dbus-1/busconfig.dtd: Unix.Trojan.Elknot-1 FOUND

Devo-me preocupar? Estava a pesquisar e percebi que é bem comum o clamav detetar falso positivos. Mas com ter certeza que são falso positivos? E se for de facto algo perigoso? Tenho um mini-server.

StanislausK
(usa FreeBSD)

Enviado em 21/07/2018 - 20:35h

Ola,

confira esses tópicos:

https://www.vivaolinux.com.br/topico/ArchLinux/Encontrado-malware-nos-repositorios-publicos-do-Arch-...

e

https://www.vivaolinux.com.br/topico/Debian/Trojan-no-Debian

Londreslondres
(usa Parabola)

Enviado em 21/07/2018 - 22:09h

Falso positivo.

https://ubuntuforums.org/showthread.php?t=2396418
https://forums.gentoo.org/viewtopic-p-8240728.html?sid=a6c883c6af050375aac002845926aa45

Henrique-RJ
(usa Outra)

Enviado em 22/07/2018 - 07:33h

Vai upando cada um desses arquivos para o www.virustotal.com e vendo o resultado do escaneamento de mais de 50 antivírus diferentes.

Deixa aqui no tópico os links de cada um desses escaneamentos para avaliarmos.

paulo1205
(usa Ubuntu)

Enviado em 22/07/2018 - 08:27h

O nome do arquivo já é suspeito. Isso não deveria ser um arquivo comum, mas um elemento para acesso a dispositivo.



Outro cujo nome já dá o que pensar. O normal, numa distribuição que siga a LSB, seria /usr/sbin/chroot.



Ou nome de arquivo estranho. Não faz sentido firmware para o GCC. E tampouco estaria em /usr/lib, mas provavelmente em /lib.

StanislausK
(usa FreeBSD)

Enviado em 22/07/2018 - 10:38h

Ola,

"Linux.Mirai is a Trojan horse that executes commands on COMPROMISED ROUTERS. It may also download potentially malicious files."

Systems Affected: LINUX

Fonte: https://www.symantec.com/security-center/writeup/2016-112905-2551-99

removido
(usa Nenhuma)

Enviado em 22/07/2018 - 11:27h

O que fizeram para serem infectados?
Executaram programas de fonte duvidosa com o root?

Mastruz
(usa Manjaro Linux)

Enviado em 23/07/2018 - 00:24h

Sinto muito em te dizer, mas você está infectado. E não são falsos positivos pelo que pesquisei.
Inclusive, o Mirai é um dos mais perigosos.
O que você anda fazendo no Antergos? Está utilizando o AUR? Baixou alguma coisa de fonte externa? Executou algum script?
---
Às vezes os loucos tem a razão, mas os sãos não conseguem perceber.