Windows Defender 报告 Ubuntu 18.04.3 实时服务器中的 Win64/Longage 木马恶意软件

Question

Windows Defender 2019 年 12 月 8 日报告了 Ubuntu 18.04.3 实时服务器中的Win64/Longage严重木马恶意软件，文件：

ubuntu-18.04.3-live-server-amd64.iso->
pool\main\l\linux\linux-modules-4.15.0-55-generic_4.15.0-55.60_amd64.deb->data.tar.xz->(xz)->
./lib/modules/4.15.0-55-generic/kernel/drivers/md/raid456.ko

Answer 1

我今天收到了完全相同的消息。我再次将 .iso 下载到单独的 Ubuntu 机器并验证了校验和：

$ echo "b9beac143e36226aa8a0b03fc1cbb5921cff80123866e718aaeba4edb81cfa63 *ubuntu-18.04.3-live-server-amd64.iso" | shasum -a 256 --check
ubuntu-18.04.3-live-server-amd64.iso: OK

在那之后，我已经提取的问题（raid456.ko）的文件，并上传到virustotal.com： https://www.virustotal.com/gui/file/9443cd40874b29cf452a7af3a033fc72f5afff26e2bfd43ca0dfcf81c5a9127f/detection

上次分析是一个月前，没问题。我再次对其进行了重新分析，现在似乎只有 Microsoft 将其检测为 Trojan:Win64/Longage: Screenshot

我会说新的 Microsoft Defender 签名在这里触发了误报。即使在 Ubuntu 将木马嵌入 .iso 的极不可能的情况下，Windows 机器本身也不会/不应该执行 Linux (ELF) 二进制文件，并且在 Windows 方面没有什么可担心的。但是，如果是这样的话，我们当然会有更大的问题需要担心。

我已将此文件提交给 Microsoft 并将其标记为误报，使用此链接：https : //www.microsoft.com/en-us/wdsi/filesubmission

当/如果我收到 Microsoft 分析师的回复，我将更新此答案。

更新：微软还没有回应，但他们的引擎不再检测到这一点。不过，趋势科技现在做到了。这是误报的可能性非常高。

更新 2：我昨天也将文件提交给 TrendMicro（尚未回复 - 不会跟进）。我认为此案已结案。来自微软的回复：

我们已经删除了检测。请按照以下步骤清除缓存检测并获取最新的恶意软件定义。

1. 以管理员身份打开命令提示符并将目录更改为 c:\Program Files\Windows Defender
2. 运行“MpCmdRun.exe -removeddefinitions -dynamicsignatures”
3. 运行“MpCmdRun.exe -SignatureUpdate”

或者，可以在此处下载最新定义：https : //www.microsoft.com/en-us/wdsi/definitions

感谢您联系微软。