标签: malware

如何确保受信任的用户无法编译带有恶意软件的包并将其放置在 Universe 存储库中。

我的防病毒扫描在 Windows 7 上发现了一些东西。尚无信息。但是我想在 Windows 旁边安装 Ubuntu。就 Ubuntu 在 Windows 系统上捕获任何恶意内容而言，这会不会很危险？

我登录了 Gmail，收到了一封来自亚马逊的关于对最近订单进行评级的电子邮件。我不认识这家公司，但决定打开电子邮件，然后立即看到它不是来自亚马逊，看起来它是一封“坏”电子邮件，其中包含大量随机内容，并且有人试图利用某些内容。

我在 16.04。我总是读 Ubuntu 非常安全，因为一切都需要 root。有没有我应该运行的软件来确保我的系统现在没有任何东西，或者我应该做些什么来确保我的安全？我通常对电子邮件很小心，但这让我很受用。

无论我打开什么网站，都会出现一个弹出式广告框。尝试重置设置，禁用扩展程序，删除 chrome 上的所有用户。

似乎这与 chrome 无关，因为同样的事情也发生在 Firefox 上，我以前甚至没有打开过。

我怀疑它可能与我最近添加的一些存储库有关，即使有怎么办？

让我描述一下弹出窗口，因为我没有足够的声誉而无法上传图像。它把自己放在页面的中间而不是那么大。不随页面的其余部分移动，在滚动页面时停留。里面有时会有谷歌广告。AdBlock 会阻止内容，但不会阻止弹出窗口本身。

检查元素的结果：

<div id="thisisonesplashforclicktocloseidhere" style=
  "position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;">
  <iframe frameborder="0" height="0" scrolling="no" src=
  "http://guzelyemek.com/reklam.html?gads_300x250" style=
  "display: none !important; visibility: hidden !important; opacity: 0 !important;"
    width="0"></iframe><a href="javascript:hideADSnow()" id="clickonME" style=
    "position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a>

chrome://plugins：

注意：使用 AdBlock Plus 可以阻止它。我只是将盒子的 div 的 id 添加到过滤器列表中，但这只是治愈了症状，而不是实际的疾病。于是旅程继续。

关于使用 ClamTk 进行扫描： 它发现了一些 1732 威胁，其中大部分（我的意思是几乎所有）由 Windows 文件和有趣的 ClamAV 自己的一些文件组成。只有有意义的条目是这些：

• /usr/lib/shim/shim.efi
• /usr/lib/shim/shim.efi.signed
• /boot/efi/EFI/ubuntu/shimx64.efi
• /boot/efi/EFI/ubuntu/MokManager.efi …

编辑：这与建议的副本不同。建议的副本一般是关于病毒和防病毒软件的。这个问题专门针对加密勒索软件、它如何运行以及它是否会影响加密文件夹。

如今，恶意软件似乎正在感染 Windows 计算机，违背他们的意愿加密他们的数据，并要求比特币赎金以换取加密密钥。

我想可能没有人会为 Linux 编写勒索软件，但假设有人这样做了：

为了让这样的软件在 Ubuntu 机器上“成功”运行，用户是否必须首先运行它并提供 sudo 密码？如果用户不这样做，Ubuntu 上是否会出现这种威胁？

如果用户文件已经加密，是否可以防止这种情况？如果勒索软件程序被用户（也确认了 sudo 密码）在不知情的情况下安装，甚至可以劫持您的预加密数据？

一般来说，Ubuntu 对加密勒索软件的（不）脆弱性如何，以及用户的行为必须多么粗心/不精明，才能真正将他或她的数据作为人质？

哪些文件格式用于在 Ubuntu 中制造病毒？例如，大多数 Windows 病毒都是按.exe格式编写的，但我无法识别 Ubuntu 中的常用格式。

当我开始使用 Linux 时，在研究 Linux 系统的文件结构和访问权限时，我脑海中形成了一个想法，只要您仅在权限较低或受限的帐户中操作，就不会有病毒或恶意软件进入您的帐户，将永远影响整个系统。“它”也不会影响安装的各种应用程序，因为设置和保存的文档都专门存储在您的帐户中……或者，我是否误解了这一点？

关于这一点，我对 Ubuntu 中的“sudo”命令感到担忧。如果我曾经使用终端在特权帐户中使用 sudo，从非特权但受感染的用户或访客帐户内部，受感染用户的主文件夹中的恶意软件是否仍会渗透到整个系统，并使我的 Ubuntu 系统受到感染？

此外，使用 Windows 模拟器、Wine... 我注意到我安装的应用程序不是系统范围的，而是在我安装时使用的帐户中本地化的。不幸的是，wine 应用程序是恶意软件的磁铁。一周内，ClamTK 检测到 700 多个威胁。我是否应该担心这种威胁会传播出去并感染整个系统？

在此先感谢那些可以阐明这一点的人。

我使用 Ubuntu 作为文件服务器，Ubuntu 上是否有用于扫描 Windows 文件的病毒扫描程序？由于大部分文件都保存在服务器上，这将极大地帮助减少病毒的传播。

今天我在我的主目录中发现了一个名为.android.

文件夹内只有两个文件，adbkey和adbkey.pub.

我四处搜索，发现这adbkey.pub是一个 Windows 木马。这些文件最后一次修改是在一月份，但几个小时前才被访问过。我从未在我的电脑上使用过 Android 设备或 Android SDK。

我已经WINE安装在我的电脑上。我还ClamAV对该文件夹进行了扫描，但没有检测到任何内容。

任何想法这是什么，如果我应该担心？

Linux 是从开源编译而来的，成千上万的开发人员会发现任何恶意源代码。然而，许多 Linux 用户双启动 Windows 和恶意软件/间谍软件/“间谍”软件 (CIA) 软件可以在安装干净版本后破解 Linux 的编译二进制文件。

我认为的解决方案是在安装更新后立即在 Linux 内核二进制文件上运行哈希总数，即在4.4.0-63-generic 上。

问题是需要包含哪些文件？即 /boot/ 4.4.0-63-generic或更多？

生成哈希总数后，cron可以每月、每周或每天运行一次作业以重新生成哈希总数并将其与原始版本进行比较以确保它没有更改。如果散列总数不匹配，则发生感染，需要重新安装干净的内核。

编辑 1到目前为止的答案更像是评论。这些答案和下面的评论似乎在说“中央情报局太聪明太富有了，无法保护自己，所以不要费心去尝试”。如果我没看错，那么所有的答案都可能是由中央情报局、国家安全局、军情六处或摩萨德支付的巨魔或工资单上的某个人写的。一个类比是“你附近的犯罪分子太聪明和老练了。他们监视你的房子并了解你的习惯。没有必要锁门或安装警报系统。”

其他人说，一旦您使用 Windows 重新启动，您用来加密哈希总数的密码就可以被间谍软件读取。我怀疑因为 Windows RAM 占用空间大于 Linux 的 RAM 占用空间，加载窗口会清除 Linux 可能留下的任何有价值的可搜索 RAM。除了简单的 10 秒断电会擦除所有 RAM。

在光谱的另一端，有人建议“不要使用 Windows”。嗯……不，我不会躲在恐惧中，也不会在需要使用的时候避开我需要使用的平台。这是一款配备混合 nVidia 显卡的超快笔记本电脑，当需要进行 Windows 游戏时，它将被如此使用。

1. 这更像是你会怎么做，但随着内核更新，你显然需要重新运行哈希，以创建一个新的。但是如果你忘记重新运行它，会发生什么？

通过内核更新，一个全新的内核将安装到/boot. 如果您忘记运行该作业以创建新的哈希总数，那么比较总数的 cron 作业会给您一个错误，就像有人在您背后修改了内核二进制文件一样。

脚本的实际设计和哈希总数的加密稍后出现。我们把车放在马前面。第一步是确定需要保护的内容。发布关于“你会怎么做？”的问题是 NAA（不是答案）。嵌入在答案中。

除了在内核映像上运行哈希总数之外，还部分回答了我的问题，还应包括选定的驱动程序。具体来说，我正在考虑一种他们可以关闭网络摄像头 LED 电源的方法，给人一种他们已关闭然后激活相机的错觉。可能与麦克风类似的东西？

消除所有关于是否应该监视对内核空间未经授权的修改的猜测——应该保护哪些二进制文件免受外部篡改？