Hallo Liste, mein Virusscanner hat einige Funde angezeigt. Es sind alles von mir mit libreoffice oder einem scanner erzeugte PDFs und /usr/lib/grub2/i386-efi/grub.efi Sind da wirklich Viren drinn? Clamav zeigt folgendes an: Heuristics.Encrypted.PDF bei den PDF Files Heuristics.Broken.Executablel bei grub.efi Die Dateien sind momentan in Karantäne, werden jedoch noch gebraucht; also löschen will ich sie nicht. Was kann man hier tun? -- Liebe Grüße Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.02.2015 um 16:51 schrieb Jürgen Stahl:
Hallo Liste,
mein Virusscanner hat einige Funde angezeigt. Es sind alles von mir mit libreoffice oder einem scanner erzeugte PDFs und /usr/lib/grub2/i386-efi/grub.efi
Sind da wirklich Viren drinn?
Clamav zeigt folgendes an:
Heuristics.Encrypted.PDF bei den PDF Files
Heuristics.Broken.Executablel bei grub.efi
Die Dateien sind momentan in Karantäne, werden jedoch noch gebraucht; also löschen will ich sie nicht.
Was kann man hier tun?
Hallo Jürgen, Du solltest eine 2. (oder 3.) Meinung einholen; z.B. auf: https://www.virustotal.com/de/ Gruß, Hendrik -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Hendrik, Liste, die Dateien waren mit virustotal.com alle unauffällig. Danke -- Liebe Grüße Jürgen Am Samstag, 7. Februar 2015, 16:58:57 schrieb Hendrik Woltersdorf:
Am 07.02.2015 um 16:51 schrieb Jürgen Stahl:
Hallo Liste,
mein Virusscanner hat einige Funde angezeigt. Es sind alles von mir mit libreoffice oder einem scanner erzeugte PDFs und /usr/lib/grub2/i386-efi/grub.efi
Sind da wirklich Viren drinn?
Clamav zeigt folgendes an:
Heuristics.Encrypted.PDF bei den PDF Files
Heuristics.Broken.Executablel bei grub.efi
Die Dateien sind momentan in Karantäne, werden jedoch noch gebraucht; also löschen will ich sie nicht.
Was kann man hier tun?
Hallo Jürgen,
Du solltest eine 2. (oder 3.) Meinung einholen; z.B. auf: https://www.virustotal.com/de/
Gruß, Hendrik
-- Liebe Grüße Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sat, 07 Feb 2015 17:46:12 +0100 schrieb Richard Kraut
Am Samstag, den 07.02.2015, 16:51 +0100 schrieb Jürgen Stahl:
Was kann man hier tun?
Wer sich auf clamav allein verlässt, der ist verlassen ;-). Clamav ist noch immer meilenweit von der Leistung eines professionellen AVs entfernt.
Das ist ja wohl auch nur so eine Behauptung auf dem Quellenniveau Thekengespräch. Tatsächlich kommen seit Jahren alle Tests von Virenscannern zu widersprüchlichsten Ergebnissen und das orthogonal zu ihrem Preis. Immerhin stellen die Macher von clamav nicht gleichzeitig auch Tools für "parental control" her, eine marktgerechte Bezeichnung für Software, die de facto ein Trojaner, meist mit Keylogger darstellt. Und nu raten wir mal, was der "professionelle" Virenwächter ebendieser Hersteller bei der Installation besagter Tools findet - genau! Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Samstag, 7. Februar 2015, 16:51:38 schrieb Jürgen Stahl:
/usr/lib/grub2/i386-efi/grub.efi Diese Datei könntest du mit rpm --verify auf Veränderungen gegenüber dem Installationsarchiv prüfen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sat, 07 Feb 2015 16:51:38 +0100 schrieb Jürgen Stahl
Clamav zeigt folgendes an:
Heuristics.Encrypted.PDF bei den PDF Files Heuristics.Broken.Executablel bei grub.efi
Die Dateien sind momentan in Karantäne, werden jedoch noch gebraucht; also löschen will ich sie nicht.
Ja, wäre auch schön dumm. Wie schon die Ausgabe ahnen lässt, ist es das Ergebnis einer heuristischen Untersuchung. Die Dateien weisen also keine Signatur eines Virus, jedoch Merkmale auf, wie sie auch bei Malware vorkommen. Für alles weitere wirst Du anderswo sicher geeignetere Plattformen als eine für Linux finden.
Was kann man hier tun?
Aufhören, mit clamav auf Linux-Systeme los zugehen. Damit clamav einen für ein Linux-System gefährlichen Virus findet, müsste ein solcher erstmal geschrieben worden sein. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.02.2015 um 16:51 schrieb Jürgen Stahl:
Clamav zeigt
Hallo Jürgen, ich finde Bitdefender für die Kommandozeile auch recht brauchbar. Für Linux gibt's hier von der Firma eine Gratislizenz. Bitdefender ist aber auch bei Virustotal vertreten. Grüße Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.02.2015 16:51, schrieb Jürgen Stahl:
Hallo Liste,
mein Virusscanner hat einige Funde angezeigt. Es sind alles von mir mit libreoffice oder einem scanner erzeugte PDFs und /usr/lib/grub2/i386-efi/grub.efi
Sind da wirklich Viren drinn?
Clamav zeigt folgendes an:
Heuristics.Encrypted.PDF bei den PDF Files
Heuristics.Broken.Executablel bei grub.efi
Die Dateien sind momentan in Karantäne, werden jedoch noch gebraucht; also löschen will ich sie nicht.
Was kann man hier tun?
Hi, heuristische Methoden sind bei allen Virenscannern in der Dauertestphase, weil sie halt auf dem Vergleich von Methoden beruhen, wie Programme arbeiten. Solche Methoden können, aber müssen eben nicht böswillig sein. Wenn Du weißt, wo Deinen Dateien herkommen (also das LO-Zeugs z.B.) und sie sicher original sind, vergiss es einfach. Generell nehme ich die heuristischen Meldungen (ich nehm f-prot, der kann das auch) als Hinweis, mal kurz über diese Datei nachzudenken, mehr nicht. Für Regeltests schalte ich die nicht ein. Was auch sein kann... mit dem nächsten Signaturupdate sind die Meldungen weg. Hab ich schon mehrfach gehabt. Wenn ein Scanner false-positives produziert, verfeinern die "Mustermacher" die Suche recht schnell, bei LO oder grub.efi kann das gut sein. Aber, gerade lese ich Dein Zitat nochmal... heißt das überhaupt Virenfund, was der ClamAV da auswirft? Die Scanner haben ja alle ihre eigene Namenswelt, aber "Heuristics.Encrypted.PDF" heißt vielleicht auch schlicht, das er verschlüsselte PDFs halt nicht scannen kann und dass die von Viren verschlüsselten PDFs (solche Dinger gibts ja bei Windoofs immer mal) so ähnlich aussehen. Und "Heuristics.Broken.Executable" bedeutet vielleicht auch nur, dass ClamAV die ausführbare Datei nicht richtig checken kann, weil sie aus seiner Sicht "broken" ist... Ich habe ClamAV vor Jahren mal getestet und vor allem wegen Langsamkeit verworfen, deshalb habe ich keine Ahnung, wie dessen Meldungen so aussehen... prüf das vielleicht noch mal. cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (7)
-
Hendrik Woltersdorf -
Joerg Thuemmler -
Jürgen Stahl -
Markus Koßmann -
Philipp -
Richard Kraut -
Tobias Crefeld