ubuntuusers.de

PUA WinExploit 2012

Status: Gelöst | Ubuntu-Version: Ubuntu 15.10 (Wily Werewolf)
Antworten |

Calma

Anmeldungsdatum:
30. November 2015

Beiträge: 18

Hallo,

habe die Version 15-10 von Ubuntu seit Ende Oktober 15 installiert und komme recht gut damit klar. Die Firewall wurde eingeschaltet und ClamTK installiert, um ggfs. Schädlinge aufzudecken. Seit dem ersten Tag der Ubuntu Nutzung direkt nach der Installation meldet ClamTK als Fund das PUA.WinExploit.CVE_2012_0110-1. Das ist also nicht neu und hoffentlich bekannt. Die Datei befindet sich in usr/share/mime/mime.cache. Handelt es sich dabei um einen Windows Schädling der darauf lauert sich in das auf dem selben Rechner installiert Windows beim Transfer von Mediendateien einzunisten oder welche andere Funktion kann damit verbunden sein und woher kommt diese PUA direkt nach der Neuinstallation? Alle Löschversuche sind zum Scheitern verurteilt. Eine Löschung von mime.cache macht Ubuntu funktionsunfähig, die Exploit Datei als solche kann nicht isoliert gefunden und gelöscht werden.Ein Kontakt zu ClamTK blieb ergebnislos, von dort wird das ggfs. als PUA eingestuft, jedoch ohne irgendeinen Hinweis darauf, ob dies dort bekannt ist oder auch nicht. Da ich überzeugt bin, dass hier kein Einzelfall vorliegt wäre ich für Hilfe sehr dankbar, denn die LTE 2016-04 Version steht vor der Tür! Calma

tomtomtom Team-Icon

Supporter
Avatar von tomtomtom

Anmeldungsdatum:
22. August 2008

Beiträge: 55376

Wohnort: Berlin

Calma schrieb:

Die Firewall wurde eingeschaltet

Wozu auch immer.

Personal Firewalls

und ClamTK installiert um ggfs. Schädlinge aufzudecken.

Windows-Schädlinge, etwas anderes kennt das nicht. Und die laufen nicht unter Linux.

Seit dem ersten Tag der Ubuntu Nutzung direkt nach der Installation meldet ClamTK als Fund das PUA.WinExploit.CVE_2012_0110-1.

Eine Sekunde Nutzung der Suchmaschine des geringsten Misstrauens liefert da, dass es sich um "false-positive"-Meldungen handelt.

Die Beschreibung des CVEs sagt dann, dass Internet-Explorer 10 in Windows XP und Windows Server 2003 betroffen sind.

Wenn du irgendwas davon betreibst hast du sowieso ein ganz anderes Problem.

Die Datei befindet sich in usr/share/mime/mime.cache.

Und es handelt sich dabei um das hier. Und die Datei liegt unter /usr/share/mime/mime.cache.

Handelt es sich dabei um einen Windows Schädling der darauf lauert sich in das auf dem selben Rechner installiert Windows beim Transfer von Mediendateien einzunisten

Na klar, der Windows-Schädling(!) wird dann vom Linuxsystem ausgeführt, unter dem er gar nicht lauffähig ist...

oder welche andere Funktion kann damit verbunden sein

Diese hier: https://specifications.freedesktop.org/shared-mime-info-spec/shared-mime-info-spec-latest.html

und woher kommt diese PUA direkt nach der Neuinstallation?

Von Spezialexpertensoftware wie ClamTK.

Alle Löschversuche sind zum Scheitern verurteilt.

Löschen kann man das ganz einfach, ist nur absolut sinnfrei.

Calma

(Themenstarter)

Anmeldungsdatum:
30. November 2015

Beiträge: 18

Hallo tomtom,

vielen Dank für Deine Antwort. Klar, die beste Suchmaschine wurde zuvor befragt. Keinerlei brauchbare Hinweise. Die false positiv Hinweise sind absolut unbrauchbar, da kann man kein x für ein u ausgeben. Fündig geworden bin ich dann bei ask ubuntu. Von dort stammt der Hinweis, das hier ggfs. Firefox der Verursacher sei. Jedenfalls ist es dem dortigen Autor gelungen, bei Änderung von bestimmten Werten per chmod 400 /usr/share/mime/mime.cache und Löschung per echo "" > / usr/share/mime/mime.cache sich dieses WinExploits zu entledigen. Danach war Clamtk ruhig. Bei mir hat das leider nicht funktioniert. Die Befehle wurden in allen möglichen Schreibweisen nicht ausgeführt, da unbekannt. Dann wurde Firefox per Synaptics Paketverwaltung deinstalliert und durch Chrome ersetzt! Reinigung per autoremove etc. mit Hinweisen auf neu- building des mime caches. Dennoch: Das Biest ist immer noch vorhanden. Das PUA soll auf den Internet Explorer etc. lauern und bei downloads nicht gewünschte Pforten zu parallelen Beilagen von Schädlingen öffnen. Möglicherweise gelangen die auf irgendeinem Weg vom mime cache zu meinem Windows. Da gibt es viele Wege. Beispiel: Hatte einen Schädling als miesen Trojaner und Wurm auf Windows der meinen Drucker wahre Opern aufführen ließ. Kein aktueller Virenscanner in diesem Universum hat das erkannt und gemeldet. Ausnahme ClamWin hat das sofort gelistet: war da schon erstaunt. Alle Versuche per Quarantäne oder Löschung mit Adminrechten oder Unlocker schlugen fehl. Von Linux aus war das in Sekunden erledigt, der Drucker lief danach ruhig und normal. ZurücK zum Exploit: Der gehört nicht ins Betriebssystem und Clamtk ist offensichtlich nicht der Lieferant. Also empfehle ich dringlichst eine Löschung. Wenn dies so einfach ist, wie du meinst, wäre ich sehr dankbar für eine genaue Anleitung. Werde danach wieder berichten. Grüße, Calama

tomtomtom Team-Icon

Supporter
Avatar von tomtomtom

Anmeldungsdatum:
22. August 2008

Beiträge: 55376

Wohnort: Berlin

Calma schrieb:

Klar, die beste Suchmaschine wurde zuvor befragt. Keinerlei brauchbare Hinweise.

Seltsam, massig Hinweise...

Die false positiv Hinweise sind absolut unbrauchbar, da kann man kein x für ein u ausgeben. Fündig geworden bin ich dann bei ask ubuntu.

Also das, was man bei diesem "Google" als ersten Treffer bekommt, soso.

Von dort stammt der Hinweis, das hier ggfs. Firefox der Verursacher sei. Jedenfalls ist es dem dortigen Autor gelungen, bei Änderung von bestimmten Werten per chmod 400 /usr/share/mime/mime.cache und Löschung per echo "" > / usr/share/mime/mime.cache sich dieses WinExploits zu entledigen. Danach war Clamtk ruhig.

Falsch. Er hst sich keine "WinExploits" entledig sondern vollkommen sinnfreier Weise eine leere Datei angelegt, sodass sein System jetzt nicht mehr nach den dafür vorgesehenen freedesktop.org-Standards arbeiten kann. Und das nur um die Meldung einer unbrauchbaren Software wegzubekommen, super.

Abgesehen davon ist dein Befehl falsch, die Datei liegt in /usr/share/share/mime/mime.cache, nicht im Wurzelverzeichnis /.

Bei mir hat das leider nicht funktioniert. Die Befehle wurden in allen möglichen Schreibweisen nicht ausgeführt, da unbekannt.

  1. Funktionieren falsche Befehle auch nicht und

  2. ist es natürlich immer eine gute Idee, Befehle, die man offensichtlich nicht versteht, einfach mal drauflos auszuführen.

Dann wurde Firefox per Synaptics Paketverwaltung deinstalliert und durch Chrome ersetzt! Reinigung per autoremove etc. mit Hinweisen auf neu- building des mime caches.

Sinn davon: Absolut keiner.

Dennoch: Das Biest ist immer noch vorhanden.

Na wie furchtbar! Ein System, dass das macht, was es soll? Am besten gleich kaputt machen, weil irgendeine Software, die nach Windows-Viren sucht da eine angebliche Sicherheitslücke findet, die schon seit Jahren geschlossen wurde.

Das PUA soll auf den Internet Explorer etc. lauern und bei downloads nicht gewünschte Pforten zu parallelen Beilagen von Schädlingen öffnen.

Wenn es denn wirklich diese Datei wäre - was äußerst unwahrscheinlich ist - wie kommt dein Internet Explorer (in Version 10! unter XP oder Windows Server 2003) bitte dazu, eine Datei auf deinem Linux-System - dessen Dateisystem es nicht kennt - in einem Ordner, mit dem er nicht das geringste zu tun hat, eine nicht ausführbare Datei auszuführen?

Möglicherweise gelangen die auf irgendeinem Weg vom mime cache zu meinem Windows.

Na da bin ich ja mal gespannt, wie das funktionieren soll...

Da gibt es viele Wege.

Aha.

Beispiel: Hatte einen Schädling als miesen Trojaner und Wurm auf Windows der meinen Drucker wahre Opern aufführen ließ. Kein aktueller Virenscanner in diesem Universum hat das erkannt und gemeldet. Ausnahme ClamWin hat das sofort gelistet: war da schon erstaunt. Alle Versuche per Quarantäne oder Löschung mit Adminrechten oder Unlocker schlugen fehl. Von Linux aus war das in Sekunden erledigt, der Drucker lief danach ruhig und normal.

Bezug zum vorherigen: Keiner vorhanden.

ZurücK zum Exploit: Der gehört nicht ins Betriebssystem

Der ist da auch nicht. Dein ClamAV meldet nur falsch. Ein Beispiel für das vorher geschriebene ist es auch nicht.

und Clamtk ist offensichtlich nicht der Lieferant.

Doch, Lieferant der falschen Meldung.

Also empfehle ich dringlichst eine Löschung.

Wie geschrieben: Wer kein Interesse an einem funktionierenden System hat...

Wenn dies so einfach ist, wie du meinst, wäre ich sehr dankbar für eine genaue Anleitung.

rm ist dein Freund.

Sinnvoller wäre diese Alternative.

Calma

(Themenstarter)

Anmeldungsdatum:
30. November 2015

Beiträge: 18

Tomtomtom,

es würde mich beruhigen, wenn Die einzige Fehlerquelle meine Beurteilung wäre. Der Mist wurde jedoch nicht von mir erfunden. Gerne wird concediert, dass ich nicht über Deine Kenntnisse verfüge. Trotzdem kann ich nicht glauben, dass hier eine erkennbare Sicherheitslücke vorliegen soll, die bereits seit längerer Zeit gechlossen wurde. Was im 10-er Explorer läuft, funktioniert vermutlich auch unter 12! Woher stammt das Vertrauen auf eine geschlossene Sicherheitslücke, die kein User, und vermutlich Du auch nicht, beurteilen kann? Entschuldige, aber da gebe ich jetzt noch keine Zugeständnisse. Gebranntes Kind scheut das Feuer und jeder Hacker usurpiert Win offensichtlich mit links, wenn noch nicht mal ältere Würmer etc. gefunden werden, auch nicht durch den Defender. Das scheint ebenso für gängige Sicherheits- Suiten nicht von Interesse zu sein. Also: Wie auch immer, das soll gelöscht werden. Natürlich mit rm, was vermutlich remove bedeutet. Aber: Wird der mime cache gelöscht, usr/share/mime/mime.cache mit 135 kb, nicht usr/usr/..), dann steht eine komplette Neuinstallation von Ubuntu ins Haus. Den mime cache kann ich nicht öffnen, um dort nach dem exploit zu suchen (???). Nochmals, wenn dies einfach zu löschen ist, wäre ich für eine genaue Befehlszeile dankbar. Kannst Du mir da weiterhelfen? Danke und Grüße, Calma (Gallina clamat!)

tomtomtom Team-Icon

Supporter
Avatar von tomtomtom

Anmeldungsdatum:
22. August 2008

Beiträge: 55376

Wohnort: Berlin

Calma schrieb:

Trotzdem kann ich nicht glauben, dass hier eine erkennbare Sicherheitslücke vorliegen soll, die bereits seit längerer Zeit gechlossen wurde.

Dann lies den CVE und die Changelogs der Software. Das ist alles öffentlich einsehbar. Wenn du es also "nicht glauben kannst" lies es nach.

Was im 10-er Explorer läuft, funktioniert vermutlich auch unter 12!

Die Lücke wurde bereits in IE 10 geschlossen. Die Lücke war auch ausschließlich unter Windows XP und Windows Server 2003 vorhanden. Windows XP wird seit April 2014 nicht mehr unterstützt, der Support für Windows 2003 endete im Juli 2010, Extended Support im Juli 2015. Wer noch eines dieser Produkte verwendet hat - wie bereits geschrieben - ein anderes Problem als die Fehlermeldung eines für das Scannen eines Linux-Desktop-Systems recht sinnfreien Programmes.

Windows Vista/Server 2008/7 waren gar nicht erst betroffen.

Woher stammt das Vertrauen auf eine geschlossene Sicherheitslücke, die kein User, und vermutlich Du auch nicht, beurteilen kann?

Closed Source kann niemand außerhalb des Herstellers beurteilen. Wer sie verwendet muss dem Hersteller vertrauen. Wenn dieser das Schließen der Lücke bekanntgibt muss du als Nutzer der Software diesem vertrauen.

Also anders gesagt: Wenn du Microsoft nicht vertraust, dass sie diese Lücke geschlossen haben, warum vertraust du ihnen dann soweit, Windows zu nutzen?

Also: Wie auch immer, das soll gelöscht werden.

Dann lösch es und lebe mit den Folgen. Und versuche weiterhin bloß nicht zu verstehen, was du tust und wie das System funktioniert.

Natürlich mit rm, was vermutlich remove bedeutet.

Diese bunten und unterstrichenen Wörter sind so genannte Links, hinter denen man weitere Informationen finden kann.

Aber: Wird der mime cache gelöscht, usr/share/mime/mime.cache mit 135 kb, nicht usr/usr/..), dann steht eine komplette Neuinstallation von Ubuntu ins Haus.

Immer noch gibt es keinen Ordner usr/share/.... Wenn du nicht mal Pfade richtig eingibst wird das auch nichts mit dem Löschen.

Lies doch mal den Artikel Verzeichnisstruktur zum Verständnis.

Den mime cache kann ich nicht öffnen, um dort nach dem exploit zu suchen (???).

Natürlich, mit jedem Editor. Ist aber ein Binary-File, wirst du nicht viel mit anfangen können.

Nochmals, wenn dies einfach zu löschen ist, wäre ich für eine genaue Befehlszeile dankbar.

Nochmals: Du hast einen Link bekommen, wie du das löschen KANNST. Du wirst von mir keinen Befehl bekommen, wie du dein System kaputt machst, das darfst du dir aus den Links selbst erarbeiten.

Calma

(Themenstarter)

Anmeldungsdatum:
30. November 2015

Beiträge: 18

O.K., rm löscht die Datei usr/share/mime/mime.cache (so im Rechnerverzeichnis gelistet), das wird nicht bezweifelt. Dies habe ich bereits mit bleachbit as root gemacht. Danach, wie berichtet, lief nichts mehr und Ubuntu musste erneut installiert werden. Das wird nicht nochmals geschehen.

Es geht aber auch nicht darum, irgendeinem Hersteller zu vertrauen. Dies ist keine Frage des Vertrauens, sondern offensichtlich eher des Verständnisses, das wir nicht haben oder nicht haben können. Vielleicht besuche ich mal nen Hackerlehrgang!

Also nochmals vielen Dank, CVE darf erstmal weiterschlafen, komme da eh nicht ran. Frage: Ist Dein System auch damit belastet oder vermeidest Du irgendeinen Schädlingsscanner unter Linux zu verwenden, wie beispielsweise auch von AV-Test beschrieben, empfohlen und untersucht?

Calma

Erwin72

Anmeldungsdatum:
21. Januar 2008

Beiträge: 974

Hallo Calma.

Also bei mir wird die mime.cache-Datei im Dateimanager ebenfalls in den Ordner 'usr/share/mime/' gefunden/angezeigt. Größe, 116,3 kb. Was jetzt nichts heißen muss, da es, wenn ich das richitg im Wiki verstanden habe, von der Art und Weise wie und was man beim BS nutzt davon die Größe abhängt. Allerdings ... vielleicht ist es im Terminal der Pfad anders dargestellt? Und Supporter nutzen meist das Terminal, so weit ich weiß.

Wenn der Fehler schon seit der Installation da ist, würde ich vermutlich entweder noch mehr durchdrehen als Du, oder es versuchen zu ignorieren und es hoffentlich irgendwann schaffen. Weil bei einer Neuinstallation sollte keine Schadsoftware auf dem Rechner sein. Ansonsten kann man das BS ja wohl vergessen? Also ... muss es seine Richtigkeit haben. Ein Installaitonsfehler, was vorkommen kann, kann man aber vermutlich bei einem so exakten Fehler-Benennung auch ausschließen, denk ich.

Es wäre vielleicht auch interessant zu wissen, was genau ClamTK sagt? Vielleicht hat CalmTK ja nur etwas entdeckt, das mit dem Exploit zusammenhängt, aber nichts ausrichten kann? Habe früher schon öfters Fälle erlebt, wo meine FW bei einfachen Anfragen von (Online-)Spielen über IP-Adressen von Gestern (die halt inzwischen dann meine war) dann Alarm schlug, als wollte man mich gerade hacken. Auch soll es mal eine Virenscanner gegeben haben, der das Program vom BS zum löschen von Dateien als Virus erkannte und dies wiedeurm löschen wollte. Wenn CalmTK zwar unter Linux läuft, aber nach Win-Schadsoftware sucht, kann es viellicht durchaus sein, dass das Programm da vielleicht etwas durcheinander bringt? Und ja, ich mache es mir leicht. Sonst eigentlich immer total das Gegenteil. Aber mir geht vor allem halt auch nicht aus dem Kopf, dass dieser Exploit, wenn ich Dich richtig verstanden habe, von Anfang an da gewesen sein müsste?

ChickenLipsRfun2eat Team-Icon

Anmeldungsdatum:
6. Dezember 2009

Beiträge: 12067

Calma schrieb:

Dies ist keine Frage des Vertrauens, sondern offensichtlich eher des Verständnisses, das wir nicht haben oder nicht haben können. Vielleicht besuche ich mal nen Hackerlehrgang!

Ich denke den Lehrgang kannst du dir sparen. Es würde schon reichen, wenn du tomtomtoms Beiträge durchliest, auf die gebotenen Links klickst und dann mal darüber nachdenkst, was das alles bedeutet. Dann erreichst du wenigstens das Verständnis ☺

unbuntuS12

Anmeldungsdatum:
2. Juni 2010

Beiträge: 1816

Mit diesem Post laufe ich Gefahr, Dinge zu wiederholen. Aber das liegt in der Natur der Sache. Tomtomtom hat im Prinzip alles gesagt, was es zu sagen gibt. Ich möchte nur noch einmal rekapitulieren, wie viel hier durcheinandergegangen ist.

Zunächst mal: Du benutzt ClamAV. Wenn du mal in unser Wiki schaust, dann siehst du direkt in der Einleitung des Artikels

Daher ist ein Virenscanner für eine GNU/Linux-Desktopinstallation nicht wirklich notwendig. ClamAV eignet sich aber trotzdem sehr gut für heterogene Umgebungen (z.B. parallele Installationen von GNU/Linux und Windows, in denen Dateien unter GNU/Linux heruntergeladen und geprüft werden, bevor sie an Windows "weitergereicht" werden), zum Prüfen von Mailanhängen oder zum Einsatz in Kombination mit Dritt-Programmen wie z.B. Samba oder einem Mail-Server.

Um es also (nochmal) ganz deutlich zu sagen: Es geht bei diesem Virenscanner nur und ausschließlich darum, Schadsoftware zu identifizieren, die zwar auf dem eigenen System keinen Schaden verursachen kann, aber direkt an Windows-Systeme weitergereicht wird. Wenn du also nicht gerade einen Samba- oder Mailserver betreibst, kannst du schlichtweg keinen Nutzen aus der Software ziehen.

Es ist auch schlichtweg nicht möglich, dass eine hypothetische Malware (es ist keine da!) nach folgendem Szenario auf deinen Windows-Rechner kommt

Möglicherweise gelangen die auf irgendeinem Weg vom mime cache zu meinem Windows.

Keine Chance. Wenn da wirklich Malware wäre (es ist keine da!), die unter Windows lauffähig ist, dann ist sie unter Linux nicht lauffähig. Sprich, sie kann nur aus einer laufenden Windows-Instanz heraus ausgeführt werden. Das würde bedeuten, dass Windows das Linux-ext4-Dateisystem lesen können müsste (1), das auch tut (2) und (3) die Malware so entworfen ist, dass sie sich auf einem Linux Betriebssystem einnistet, um dann ein paralleles Windows zu befallen. Und das ist vollkommen absurd. Wenn ich eine Malware scheiben will, dann gehe ich durch die offene Vordertür (Windows), anstatt durch die gut gepanzerte Hintertür (Linux) einzubrechen, nur, um dann dem Kollegen dann von innen die ohnehin nur angelehnte Vordertür aufzumachen. ☺

Du kannst ja auch nochmal in anderen Quellen nachlesen. Bei Debian heißt es (meine Hervorhebung):

There are not many anti-virus tools included with Debian GNU/Linux, probably because GNU/Linux users are not plagued by viruses. The Unix security model makes a distinction between privileged (root) processes and user-owned processes, therefore a "hostile" executable that a non-root user receives or creates and then executes cannot "infect" or otherwise manipulate the whole system. However, GNU/Linux worms and viruses do exist, although there has not (yet, hopefully) been any that has spread in the wild over any Debian distribution. In any case, administrators might want to build up anti-virus gateways that protect against viruses arising on other, more vulnerable systems in their network.

Es gibt Malware für Linux (klar!), aber die verbreitet sich nicht auf diese epidemische Weise wie unter Windows. Deshalb ist eine "anti-epidemische" Maßnahme wie ein Virenscanner sinnlos, kann aber nützlich sein, wenn es um die Weitergabe von Dateien an andere Systeme (gemeint ist Windows) geht.

Das deckt sich vollkommen mit der Beschreibung hier im Wiki.

Also erster Punkt: Du hast eine Software installiert, die für deinen Anwendungsfall nicht gedacht ist. Lösung:

sudo apt-get remove clamav clamav-freshclam

Und eigentlich könnten wir an dieser Stelle aufhören. Wir machen jetzt mal spaßeshalber weiter. Und dazu gucken wir erstmal bei ClamAV selbst. Sie schreiben (wieder meine Hervorhebung):

What is PUA? I get a lot of false positives named PUA.

With the release of ClamAV 0.91.2 we introduce the option to scan for Potentially Unwanted Applications.

The PUA database contains detection for applications that are not malicious by itself but can be used in a malicious or unwanted context. As an example: A tool to retrieve passwords from a system can be useful as long as the person who uses it, is authorized to do so. However, the same tool can be used to steal passwords from a system. To make use of the PUA database you can use the –detect-pua switch for clamscan or enable it in the config file for clamd (add: DetectPUA yes).

At this point we DO NOT recommend using it in production environments, because the detection may be too agressive and lead to false positives. In one of the next releases we will provide additional features for fine-tuning allowing better adjustments to different setups. NOTE: A detection as PUA does NOT tell if a application is good or bad. All it says is, that a file MAYBE unwanted or MAYBE could compromise your system security and it MAYBE a good idea to check it twice.

Also: PUA-Erkennung kann zu falschen Positivergebnissen führen und wird in Produktivumgebungen deshalb nicht empfohlen.

Wir halten fest. Du hast...

  1. unnötige Software installiert

  2. eine für Produktivumgebungen nicht empfohle Option aktiviert

  3. ein falsches Postivergebnis bekommen

Außerdem hast du diesen und diesen und diesen Hinweis auf ein falsches Positivergebnis nicht zur Kenntnis genommen. Es gibt tatsächlich überhaupt nicht einen Hinweis darauf, dass es wirklich eine Malware ist - außer eben ähnlich verunsicherte Menschen wie du, die in anderen Foren dieselbe Diskussion führen - mit demselben Ergebnis.

Weiterhin gilt als Lösung:

sudo apt-get remove clamav clamav-freshclam

Alles andere ist schlichtweg Unsinn. Selbst, wenn du einen vernünftigen Grund hättest, ClamAV zu betreiben (hast du nicht!), wäre die Herangehensweise, ClamAV das false positive zu melden. Das Ziel der Löschereiaktionen ist ja nicht, irgendeine Malware zu entfernen (da ist keine!), sondern die Meldung abzustellen. Und die Meldung stellt man ab mit

sudo apt-get remove clamav clamav-freshclam

, nicht dadurch, dass du willkürlich Dateien aus deinem System löschst, für die eine Software, die auf deinem System nicht eingesetzt werden sollte behauptet, sie hätte ein für ein vollkommen anderes Betriebssystem möglicherweise unerwünschte Software gefunden (was ja nicht der Fall ist!).

Generell solltest du unbedingt vom Windows-Denken runterkommen. Wenn ich so Sachen lese wie...

Die Firewall wurde eingeschaltet

Die Befehle wurden in allen möglichen Schreibweisen nicht ausgeführt, da unbekannt.

Dann wurde Firefox per Synaptics Paketverwaltung deinstalliert und durch Chrome ersetzt!

Reinigung per autoremove

Dies habe ich bereits mit bleachbit as root gemacht.

Dann kann ich das nachvollziehen, wieso du meinst, sowas tun zu müssen, aber du überträgst hier Windows-Verhaltensweisen auf Linux und die gehören hier nicht hin. Ebensowie ein Virenscanner ein ganz spezifisches Schutzziel hat, hat eine Firewall ein Schutzziel: unerwünschte Verbindungen zu unterbinden. Wenn du unerwünschte ausgehende Verbindungen hast, dann kannst du deiner eigenen Software auf dem Systen nicht trauen. Wenn du der aber nicht trauen kannst (du merkst, es geht doch um Vertrauen!), dann solltest du sie von vornherein nicht installieren. Wenn du unerwünschte eingehende Verbindungen verhindern willst, dann wäre die sinnvollste Möglichkeit, gar nicht auf eingehende Verbindungen zu warten (was die Voraussetzung ist, damit eine Firewall überhaupt irgendetwas blockieren kann). Unter Windows sind standardmäßig Ports offen, unter Ubuntu nicht. Sprich: Eine Firewall hat nullkommanullüberhauptnixkeinen Mehrwert. Das ist so, wie wenn jemand vor die Berliner Mauer eine Tür gestellt und abgeschlossen hätte: Dahinter wäre eh zu gewesen!

Auch solche Reinigungstools wie bleachbit sind nicht nützlich, sondern gefährlich. Ironischerweise heißt es gleich im allerersten Absatz in unserem Wiki (meine Hervorhebung):

Bleachbit sollte nie mit Administratorenrechten gestartet werden, da eine unbedachte Nutzung das System und auch Benutzerdaten gefährden kann.

und

Speziell bei KDE kann das Programm schwerwiegende Funktionsstörungen zur Folge haben, da es wichtige Systemressourcen löscht [...]

Es ist also bei dir genau das eingetreten, was prophezeit wurde.

Ich will damit gar nicht darauf hinaus, dir sämtliche Fehler aufzuzeigen, die du gemacht hast (wir machen alle Fehler, ständig), sondern darum, dass die Vermutung, du hättest Malware auf deinem System nur ein Symptom tief verankerten Windows-Denkens und -Handels ist, dass sich in sämtlichen Details deiner Posts wiederfindet.

Also, um das nochmal zu bekräftigen: Lies die Links hier im Thread und dann, wenn du es nicht schon getan hast, führe

sudo apt-get remove clamav clamav-freshclam

aus.

Calma

(Themenstarter)

Anmeldungsdatum:
30. November 2015

Beiträge: 18

Zunächst mal Danke für all die Amtworten: Hoffe, als relativer newcomer daraus etwas lernen zu können. Also: Die Firewall, hat keinerlei Nutzen, das mag sein. Warum wurde sie Installiert? Habe im neu erworbenen Linux Kofler nachgelesen und dort wurde bemängelt, Ubuntu würde keine eigene Firewall mitbringen. Der Virenscanner ist ClamTk und sucht nach Linux- und Windows- Schädlingen, Ja, bei AV-Test habe ich gelesen, es gebe auch Linux Schädlinge. Das soll es tatsächlich geben. Dann bringt das nächste Redstone Update in Windows die Linux- Bash? Von Linus aus ist Windows offen wie ein Scheunentor, mit der neuen Bash noch offener? Damit soll gesagt sein, das Windows System soll abgesichert werden. Mime wird auch für E-Mails benötigt, ggfs. hängt so ein Schädling an Fotos etc. an und gelangt in den Windows Browser? Auch Edge läuft nicht ohne den Explorer im Hintergrund und ich präferiere, Mails in den Browsern zu lesen. Zurüch zu ClamTK: Dort ist das PUA gelistet: PUA.WinWxploit.CVE_2012-0110-1. Die Clam-Autoren machen das wohl eher nebenbei (University of Kent?)? Die konnten keine genaue Auskunft geben, das kann von dort ggfs. auch nicht erwartet werden.

Nochmals, es gibt hier nur zwei Möglichkeiten:

Entweder das alles existiert nicht, ist völliger Unsinn, eine spinnerte Meldung von Clam und alles, aber niemals eine Bedrohung für Windows, dann bin ich beruhigt und betrachte demnächst die Frage als beantwortet. Aber: Wer traut sich, ClamTk zu installieren und sein System zu durchsuchen? Wird nichts gefunden, seit Ihr sauber und mein System ist korrupt, ggfs. per verseuchter Installations- DVD von einer Zeitschrift.

Oder, da ist doch was dran, aber dies kann ich derzeit noch nicht beurteilen.

Selbstverständlich werden auch alle Links von tomtomtom durchgelesen, bin bald soweit, aber noch nicht überzeugt. Vielleicht sollte ich zu Windows 7 und dem Defender zurückkehren, was für eine schöne, ruhige Welt!

Gruß Calma

ChickenLipsRfun2eat Team-Icon

Anmeldungsdatum:
6. Dezember 2009

Beiträge: 12067

Calma schrieb:

Die Firewall, hat keinerlei Nutzen, das mag sein. Warum wurde sie Installiert? Habe im neu erworbenen Linux Kofler nachgelesen und dort wurde bemängelt, Ubuntu würde keine eigene Firewall mitbringen.

Ich kenne Kofler nicht, aber ich hab auf allen meinen *buntus eine Firewall... siehe dazu iptables oder/und ufw. Die Firewall in Ubuntu ist lediglich so eingestellt, dass sie von außen nichts reinlässt (per Voreinstellung).

Der Virenscanner ist ClamTk und sucht nach Linux- und Windows- Schädlingen, Ja, bei AV-Test habe ich gelesen, es gebe auch Linux Schädlinge. Das soll es tatsächlich geben.

Natürlich gibt es auch Schadsoftware für Linux. Diese ist aber meistens nur unter Laborbedingungen wirksam und erreicht keine Verbreitung in der Nutzerwelt, da es relativ schwer ist was zu Schreiben, wo jemand drauf reinfällt. Siehe auch Sicherheitskonzepte

Dann bringt das nächste Redstone Update in Windows die Linux- Bash? Von Linus aus ist Windows offen wie ein Scheunentor, mit der neuen Bash noch offener? Damit soll gesagt sein, das Windows System soll abgesichert werden.

Was hat das mit Ubuntu zu tun? Die Jungs aus Redmond wissen schon, was sie da tun.

Mime wird auch für E-Mails benötigt, ggfs. hängt so ein Schädling an Fotos etc. an und gelangt in den Windows Browser? Auch Edge läuft nicht ohne den Explorer im Hintergrund und ich präferiere, Mails in den Browsern zu lesen. Zurüch zu ClamTK: Dort ist das PUA gelistet: PUA.WinWxploit.CVE_2012-0110-1. Die Clam-Autoren machen das wohl eher nebenbei (University of Kent?)? Die konnten keine genaue Auskunft geben, das kann von dort ggfs. auch nicht erwartet werden.

Nochmal: false-positiv! Das sind Warnungen, die ausgelöst werden, weil sie einer Schadsoftware ähneln oder eine ähnliche Signatur haben. Daher nutzt man solche Antiviren-Programme an sich auf Servern, um deren Windows-Clients zu schützen. Wenn du also keinen Server betreibst, wovon ich ausgehe, dann brauchst du es wirklich nicht!

Nochmals, es gibt hier nur zwei Möglichkeiten:

Nö. Drei!

Entweder das alles existiert nicht, ist völliger Unsinn, eine spinnerte Meldung von Clam und alles, aber niemals eine Bedrohung für Windows, dann bin ich beruhigt und betrachte demnächst die Frage als beantwortet. Aber: Wer traut sich, ClamTk zu installieren und sein System zu durchsuchen? Wird nichts gefunden, seit Ihr sauber und mein System ist korrupt, ggfs. per verseuchter Installations- DVD von einer Zeitschrift.

Ich kann gerne prüfen, ob meine Systeme eine false-positive Meldung bringen. Aber wem wäre damit geholfen? Und ich würde generell meine Ubuntu-ISOs von hier holen, nicht von irgendwelchen CD's.

Oder, da ist doch was dran, aber dies kann ich derzeit noch nicht beurteilen.

Da kommen wir zu Möglichkeit drei. Du vertraust den Aussagen hier und liest dich ein. Windows ist nicht Linux und funktioniert völlig anders. Dazu ist ein Umdenken erforderlich.

Selbstverständlich werden auch alle Links von tomtomtom durchgelesen, bin bald soweit, aber noch nicht überzeugt. Vielleicht sollte ich zu Windows 7 und dem Defender zurückkehren, was für eine schöne, ruhige Welt!

Die Welt ist nicht ruhig. Definitiv nicht ruhiger als alle anderen Welten. Ich persönlich vermisse in Windows viel, was ich hier habe. Nur, du bist die Welt von Windows gewohnt und fühlst dich da sicherer.

Dazu wie unter Möglichkeit 3 einige Links zum Einlesen:

keraM

Anmeldungsdatum:
17. März 2006

Beiträge: 167

Wohnort: Dresden

Calma schrieb:

Entweder das alles existiert nicht, ist völliger Unsinn, eine spinnerte Meldung von Clam und alles, aber niemals eine Bedrohung für Windows, dann bin ich beruhigt und betrachte demnächst die Frage als beantwortet.

Auf https://virustotal.com/ kannst Du die Datei von ~50 Virenscannern testen lassen. Vielleicht überzeugt Dich das Ergebnis?

Calma

(Themenstarter)

Anmeldungsdatum:
30. November 2015

Beiträge: 18

Nochmals vielen Dank, für alle Antworten:

Verzeichnisstrukturen (Wurzelverzeichnis /), Virustotalscanner etc. alles klar und gelesen. Auch mit gksud gedit die mime-cache Date geöffnet, ca. 139 kb, bei Erwin nur 116 kb, das gibt bereits zu denken.

In der Datei sind viele Textstellen mit Bezug auf Audio-, Video- und Fotodateien, E-Mails, Google Video Player, Coral, und unzählige andere Verweise, wie matroskaMZ, Windows Registry Editor, extended Modul:XMF, cc/00/85x etc.. Auffällig sind unzählig viele Nullen gegen Ende des Textes und alle rot markiert. Die Beurteilung soll Fachleuten überlassen werden. Was sollen die unzähligen roten Nullen in einem Block? Nutzloser Fülltext?

Unterschiede zwischen Linux und Windows sind ja klar, das brauchen wir nicht zu diskutieren. Es geht nur um das exploit pua. Nicht Jeder hat es , Manche haben es. Warum? Woher kann das kommen? Doch nicht durch ClamTK, denn nicht alle ClamTk User haben dieses PUA.

Zusammenfassung: Es könnte von Interesse sein, wie das auf die Festplatte kommt und vor allem wozu? Doch nicht mal eben so, nur um auf Linux einen nutzlosen Schlaf zu halten. Fürchte, auch Virustotal hilft nicht weiter, die haben nicht mal meinen Druckerwurm beanstandet.

Calma

ChickenLipsRfun2eat Team-Icon

Anmeldungsdatum:
6. Dezember 2009

Beiträge: 12067

Ich ziehe mich hier zurück. tomtomtom hat die Antworten auf deine Fragen bereits verlinkt. Lesen und vor allem Verstehen kann ich dir auch nicht abnehmen.

Antworten |