Foro de elhacker.net

Cuando los escaneo con clamav me aparecen este tipo de malware pero la cuestión es que luego al ejecutar JDownloader se vuelven a regenerar todos :


¿Ha alguien más le sucede esto?.¿Qué medidas tomo?.No vuelvo a ejecutar JDownloader de momento.Si me podeis guiar con el siguiente paso a seguir en cuanto ejecute otra vez el programa otra vez estarán ahí. :-*

a ver que veo?

Ójala puedas ayudarme portaro estoy desorientada pués el programa lo suelo utilizar de momento cuando puedo y no me gusta que ese malware conviva en mi s.o. :-*

pues el mio esta limpio.

Los archivo que tienes infectados son jar, java, hace una o 2 semanas hubo un malware que aprovechaba vulnerabilidades que pueden afectar esos motores->

http://gnulinuxvagos.es/topic/286-vulnerabilidad-0-day-en-java-7-deshabiliten-el-plugin-de-java-de-su-navegador/ (http://gnulinuxvagos.es/topic/286-vulnerabilidad-0-day-en-java-7-deshabiliten-el-plugin-de-java-de-su-navegador/)

Haz  el test a tu distro. y verificalo, porque mi jdownloader esta casi siempre enchufado y le hecho el scan y nada.

YO te diria tb que hagas un rebackup en tu apply o sea crea un jdc con tus archivos que estas descargando actualmente, lo remueves y lo vuelves a instalar, y verifica en tu pasta de /home por alguna pastta sospechosa -

Pasale tb rkhunter y chkrootkit.

El mio está deshabilitado por el tiempo que apareció.
Pasos que he hecho en el sistema :
Checkeo con tripwire (Nada raro muestra) , Escaneo con 2 antivirus por separado cuando activo uno o el otro clamav es el que me arroja eso.Hice los escaneos completos pués tengo 9gb de datos y me tarda 1h y 35m.También hice chkrootkit y rkhunter y no arroja nada raro.
¿Tú has procedido ha escanear tú JDownloader con clamav?. :-*

si clamav es el antivirus que tengo, pero estos funcionan hacia windows.

El escaneo resulto sin infeccion.

Usas UBuntu o debian o otro?

Debian squeeze. :-*

NO te se decir si es un malware o no en realidad, lo que te aconsejo es hacer respaldo de de container, y despues remover jdownloader, no se si lo instalaste en tu home con el debian de jdownloader o con wine, si es asi lo instalaste con wine verifica bien wine.

http://www.oitc.com/winnow/clamsigs/unofficialsigs.html (http://www.oitc.com/winnow/clamsigs/unofficialsigs.html)

tu malware en cuestión seria ->
winnow.malware.m0.malware.

Si estas en el foro de linux.com puedes intentar poner un topico probablemente hasta les sera de ayuda, pues no veo muchos relatos de esta infeccion y lo que hay es con gmail

el archivo vi.loc es un locale un lenguage, no entiendo que esto pueda ser un malware, pero no soy esperto en seguridad.

Te pongo mi vi.loc en un archivo tar, lo descomprimes y lo pones en tu pasta de /jd/languages,

despues escaneas a ver que te dice.

https://docs.google.com/open?id=0B1G2i4TiQvahd0JhVl94OUpiZWs (https://docs.google.com/open?id=0B1G2i4TiQvahd0JhVl94OUpiZWs)

portaro tu archivo me lo detecta cómo malware te paso unas capturas espero que puedas verlas bién.

(http://s2.subirimagenes.com/privadas/previo/thump_1931984portaro.png)
(http://www.pixhost.org/show/4070/14150261_portaro.png)

http://s2.subirimagenes.com/privadas/previo/thump_1931984portaro.png
http://www.pixhost.org/show/4070/14150261_portaro.png

Pd : Problablemente los demás los tengas cómo malware.Habria que  tomar medidas , portaro saludos. :-*

pues si alguien tiene su vi.loc y lo puede subir tb para retirar dudas mejor que mejor, va a ser que andamos todos infectados y no sabemos. :rolleyes:

A lo mejor ya lo tienes hecho pero es aconsejable tener cualquier base de datos de anti-virus lo más actualizada posible. :-*

 ;D Pues no lo se, lo que me intriga es donde estaria el malware, pues ese es un archivo de locales, de lenguage, no se a que malware podria elencar.

Tienes buscado por google casos relatados de ese malware?

A ver si paso por gnulinuxvagos y les hago mencion a esto, alli saben algo de linux.

Algo he visto cuando he podido pero que son reales hay están identificados.
Vale gracias portaro por la ayuda en el tema y por pasarme tu file para que lo chequeara.portaro saludos. :-*

Ya abri el tema en el foro que te dije, ciertamente me hechan un cable porque son muy dados a verificar cosillas en linux, y Shiba ( el maestro del foro) tiene una buena experiencia con Linux.

Pués si hay alguna novedad o te arrojan datos sobre el tema comentalos cuando puedas. :-*

Pues si que hay novedades.

Están como nosotros, tb hay users relatando malwares, y por lo que veo aunque podrian ser no ofensivos, dudo mucho de que hagán uso de js, la java es muy aprobecahda en linux.

Pero nos falta luces para sabermos con que lidiamos.

Si alguién del equipo de hacking se toamara la molestia de intentar darnos pistas, seria muy bueno.

Yo también pienso lo mismo que tú.Pués cuando encontre estos malwares cambié varias versiones de JDownloader para pasarselas a los antivirus y en todas las versiones me aparecia malware.Mi intención era contribuir aquí ayudando a las o los demás usuari@s de este foro.Para que se tuviera conocimiento de ello.Un s.o de lo más limpito y actualizado es de lo mejorcito.portaro saludos. :-*

A mi me sigue dando limpio=

(http://imageshack.us/a/img401/315/capturadeecr21092012154.png)

(http://imageshack.us/a/img593/315/capturadeecr21092012154.png)

Pués algo falla puedo ser yo pueder ser tú pero cómo ves en la captura que te dejé de tu archivo vi.loc lo detecta cómo malware. :-*

SAlio una actualziacion de jdownloader hazla a ver si corrige algo.

Lo he actualizado y sigue dandome los malwares de la captura que te puse.Una cosa que lo analizas desde sistema gŕafico haz desde una terminal en superusuari@ esto deberia bastar para que te los detecte :
Yo JDownloader lo tengo hay en esa ruta tú u otros pueden poner las suyas para proceder con la prueba.Mi JDownloader en :
Pruebalo y cuando sea me comentas si no te detecta nada o si.Saludos portaro. :-*

Infected files: 1

donde los veo al ser escaneo de root?

Sí en la terminal escribe el parámetro : Quedaria así : Queda claro que puedes ponerle la ruta o el nombre de salida que te guste. :-*

Pd : Por cierto al file que pongas cómo por ejemplo virus.log , tendras que darle permisos para leerlo. :-*

Una cosa si haces un checkeo completo del sistema el archivo ejemplo virus.log puede crecer bastante pero merece la pena puedes ver las cosas que van sucediendo por el sistema.
  :-*

Pues ahora que puse el log y nuevo comando ya no me detecta nada-
----------- SCAN SUMMARY -----------
Known viruses: 1314620
Engine version: 0.97.5
Scanned directories: 118
Scanned files: 4142
Infected files: 0
Data scanned: 92.79 MB
Data read: 1167.28 MB (ratio 0.08:1)
Time: 98.185 sec (1 m 38 s)

Porque ya has eliminado el malware con pero si lo vuelves ha actualizar y pasas el antivirus en terminal podria ser probable que te lo detecte. :-*