Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Вирус. Видимо, через wine  (Прочитано 1692 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Gadd

  • Автор темы
  • Участник
  • *
  • Сообщений: 209
    • Просмотр профиля
Вирус. Видимо, через wine
« : 12 Февраль 2011, 22:27:59 »
Рискую вызвать холивар, но...
Давеча цеплялся через сетку к компу с вин7. Ко мне пришла зараза под названием Cool_GameSetup.exe. Оказалась в папке Общедоступные и на 160-гиговом разделе (тут она появилась не сразу), которые были открыты на доступ по сети (нужно было перекинуть много файлов туда-обратно). По простоте душевной (думал, что кто-то мне давно игру закинул, на посмотреть) перед удалением её запустил, ничего не увидел и, собственно, удалил. Потом увидел её папках, которые были открыты на доступ. Снова удалил. В общедоступных лежал еще один ехе-файл, название не помню, видимо имеющий прямое отношение к Cool_GameSetup.exe.

Этот файл теперь у меня появляется на 160G-разделе, непонятно по какому принципу, после запуска wine-приложений он появляется далеко не всегда. Папку ~/.wine удалял. Сам wine пока не удалял и не чистил. Перезагрузка не помогает.
Заметил такую вещь - эти папки не отмечены в наутилусе, как расшареные. Но зато они (и как оказалось и другие, отсутствующие папки, когда-то бывшие расшареными) присутствуют в smb://gadd-desktop/. Убрал их оттуда варварским способом: в наутилусе создал ресурсы с такими же именами (опубликовал папки), а потом закрыл эти ресурсы. В smb://gadd-desktop/ теперь чисто.
Для чего я это делал? В нете выяснил, что вирус распространяется по сетке и копирует этот файл в расшареные папки.

DrWeb CureIt запустить не удалось.... Раньше с этим проблем не было.

Как избавиться-то? Удалить wine, зачистить и поставить заново? Думаю ещё поставить ClamAV. Он того стоит?
« Последнее редактирование: 12 Февраль 2011, 22:41:37 от Gadd »
Ubuntu 16.04 x86_64
AMD FX X8 8350, Gigabyte 990FXA-UD3 (rev 3.0), GeForce GTX760 2ГБ
Установлены все обновления

Оффлайн suslikk

  • Старожил
  • *
  • Сообщений: 2370
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #1 : 12 Февраль 2011, 22:40:57 »
Это не вирус для вас :) Успакойтесь, меньше вино надо пользовать
Нарисуй свой город на openstreetmap.org

Оффлайн Gadd

  • Автор темы
  • Участник
  • *
  • Сообщений: 209
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #2 : 12 Февраль 2011, 23:10:27 »
Это не вирус для вас :) Успакойтесь, меньше вино надо пользовать

Все-равно как-то неспокойно. Без моего ведома такие файлы создаваться не должны. Файл вроде как не запускается сам по себе. Однако что-то его копирует в эти папки (может уже перестанет, т.к. закрыт общий доступ). Интересно, что? Вайн, при запуске каких-либо приложений? Но папку .wine я удалял и до поры до времени был спокоен.
Не хотелось бы стать частью бот-нета (хоть и не на долго)
А вайн мне, к сожалению, нужен. Если подскажете удобный гитарный тюнер вменяемым с генератором тонов
(как вариант speaker-test -f 440 -t sine -l 2 -P 2 -r 44100)
то, возможно, на какое-то время от вина можно и отказаться (до очередного кратковременного зуда поиграть в какую-нить игрулю).
« Последнее редактирование: 12 Февраль 2011, 23:13:48 от Gadd »
Ubuntu 16.04 x86_64
AMD FX X8 8350, Gigabyte 990FXA-UD3 (rev 3.0), GeForce GTX760 2ГБ
Установлены все обновления

Оффлайн Sam Stone

  • Старожил
  • *
  • Сообщений: 1124
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #3 : 12 Февраль 2011, 23:18:51 »
для спокойствия убрать в вайне доступ к /, а потом в логах самбы посмотреть, от какого клоуна прилетает файл и дать ему в бубен :) А проще закрыть анонимный доступ к шаре.
16.04.1 4.4.0-59-generic x86_64 GNU/Linux

Оффлайн Vitsliputsli

  • Старожил
  • *
  • Сообщений: 1244
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #4 : 12 Февраль 2011, 23:21:56 »
Вирусы в Wine могут привести к печальным результатам. Благо деструктивных сейчас очень мало.
Думаю надо Wine держать изолированно от других пользователей. Кстати, пойду поборю лень и займусь этим...  :)
А файл пишется, вероятно, потому что не весь общий доступ закрыт.

Оффлайн gva230

  • Активист
  • *
  • Сообщений: 981
  • GUI-овый линуксоид
    • Просмотр профиля
    • Моя дикая страничка
Re: Вирус. Видимо, через wine
« Ответ #5 : 13 Февраль 2011, 00:01:13 »
Файл пишется, потому что соответствующая папка добавлена в Wine, как диск. Оставь в вайне какую-нибудь отдельную папку под не системный диск и пусть там вирусня резвится. :) Ну, а если не интересно, то ClamAV поубивает твои вирусы.
Kubuntu - наше фсё! :Ь

Оффлайн Gadd

  • Автор темы
  • Участник
  • *
  • Сообщений: 209
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #6 : 13 Февраль 2011, 00:03:42 »
Комп как бы не в сетке. К нету соединяюсь через ethernet-кабель (VPN). На сколько я понимаю, другие компы из сети прова до меня достучаться не могут. Вирус был занесен на мой комп, и из него он пытался писаться в сетевые папки на моей машине. Сетевых папок теперь у меня уже нет, но зараза-то где-то сидит! Место может быть только одно - ~/.wine, но её я уже удалял. Где искать? С помощью ClamAV просканировал папку .wine. Всё чисто. Сейчас хомяк сканирую
Ubuntu 16.04 x86_64
AMD FX X8 8350, Gigabyte 990FXA-UD3 (rev 3.0), GeForce GTX760 2ГБ
Установлены все обновления

Оффлайн gva230

  • Активист
  • *
  • Сообщений: 981
  • GUI-овый линуксоид
    • Просмотр профиля
    • Моя дикая страничка
Re: Вирус. Видимо, через wine
« Ответ #7 : 13 Февраль 2011, 15:28:17 »
А файл, который он пишет, случайно не .windows-serial весом в 2 байта? :)
Kubuntu - наше фсё! :Ь

Оффлайн AlexKozhin.com

  • Новичок
  • *
  • Сообщений: 8
  • Ubuntu 10.10 netbook edition MSI-u-100
    • Просмотр профиля
    • http://www.alexkozhin.com/main.php
Re: Вирус. Видимо, через wine
« Ответ #8 : 13 Февраль 2011, 17:34:28 »
У меня рабочий стол Гном, ClamAV на нем работать не будет же?
А что делать если лезут в комп через сеть  или через вайфай?

Оффлайн thunderamur

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6748
  • Ubuntu 16.04
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #9 : 13 Февраль 2011, 18:08:19 »
замечал такую же хрень на одном из компов с Ubuntu, было это добро в общей папке, решил, что "добро" из сети и даж парица не стал, похер на винду заражённую.

Пользователь решил продолжить мысль 13 Февраль 2011, 18:08:45:
а вообще надо бы почистить...

Оффлайн gаrret

  • Активист
  • *
  • Сообщений: 833
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #10 : 13 Февраль 2011, 18:51:28 »
У меня рабочий стол Гном, ClamAV на нем работать не будет же?
Почему не будет?
Может вы имеете в виду КДЕшный интерфес KlamAV? Ну так и он будет работать. Но если вам хочется православный гномовский интерфейс, есть ведь ClamTK.
« Последнее редактирование: 13 Февраль 2011, 18:55:42 от garret87 »
Считаешь, что я неправ? Аргументируй!

Оффлайн thunderamur

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6748
  • Ubuntu 16.04
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #11 : 14 Февраль 2011, 04:16:52 »
У меня рабочий стол Гном, ClamAV на нем работать не будет же?
Почему не будет?
Может вы имеете в виду КДЕшный интерфес KlamAV? Ну так и он будет работать. Но если вам хочется православный гномовский интерфейс, есть ведь ClamTK.
хватит всякую ересь говорить, православный интерфейс - командная строка  :2funny:

Оффлайн gаrret

  • Активист
  • *
  • Сообщений: 833
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #12 : 14 Февраль 2011, 11:17:34 »
Гм, да, фигню сказал. ;D
Считаешь, что я неправ? Аргументируй!

Оффлайн alexander.pronin

  • Старожил
  • *
  • Сообщений: 2540
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #13 : 14 Февраль 2011, 12:21:05 »
Погуглите по форуму
tuxguitar
Там есть еще варианты.
https://forum.ubuntu.ru/index.php?topic=14889.0
« Последнее редактирование: 14 Февраль 2011, 12:25:55 от alexander.pronin »

Оффлайн Gadd

  • Автор темы
  • Участник
  • *
  • Сообщений: 209
    • Просмотр профиля
Re: Вирус. Видимо, через wine
« Ответ #14 : 18 Февраль 2011, 23:13:53 »
А файл, который он пишет, случайно не .windows-serial весом в 2 байта? :)

Юмор понятен, но не уместен, к сожалению. Нет, то был ехе-шник

Пользователь решил продолжить мысль 18 Февраль 2011, 23:19:58:
Погуглите по форуму
tuxguitar
Там есть еще варианты.
https://forum.ubuntu.ru/index.php?topic=14889.0

Таксгитаром пользуюсь уже давно, но нужна прога совершенно другого рода. И это вопрос другой темы :)

Пользователь решил продолжить мысль 19 Февраль 2011, 18:18:45:
Вопрос по прежнему актуален.
Для эксперимента сделал общедоступную папку. В ней появился описываемый файл. Вот что говорит по этому поводу ClamAV:
Цитировать
Scanning 1 file(s)...
Scanning file "/home/gadd/testfolder/Cool_GameSetup.exe"...
Found Trojan.Dropper-18537 in /home/gadd/testfolder/Cool_GameSetup.exe
Что и требовалось доказать.
Откуда он лезет? Может, действительно из сети проавйдера, как говорил кто-то выше? Вряд-ли, открытой внутренней локалки как таковой нет, есть только файлообменник (GreyLink вроде как юзается), для которого нужен отдельный тарифный план, которого у меня нет. Если он на компе - как он выжил???
Где смотреть логи самбы???

Пользователь решил продолжить мысль 19 Февраль 2011, 18:31:09:
В /var/log/samba/log.samlab нашел такие строки:
Цитировать
[2011/02/19 17:07:59,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/02/19 17:07:59,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/02/19 17:07:59,  0] param/loadparm.c:8569(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/testfolder failed. Permission denied
[2011/02/19 17:08:00,  1] smbd/service.c:1063(make_connection_snum)
  samlab (::ffff:10.221.0.74) connect to service testfolder initially as user nobody (uid=65534, gid=65534) (pid 2297)
[2011/02/19 17:08:08,  1] smbd/service.c:1240(close_cnum)
  samlab (::ffff:10.221.0.74) closed connection to service testfolder

Папка и время совпадают. Значит гадость идет с 10.221.0.74?
« Последнее редактирование: 19 Февраль 2011, 18:31:09 от Gadd »
Ubuntu 16.04 x86_64
AMD FX X8 8350, Gigabyte 990FXA-UD3 (rev 3.0), GeForce GTX760 2ГБ
Установлены все обновления

 

Страница сгенерирована за 0.061 секунд. Запросов: 22.