Quora で CrossRat マルウェアに関するリンクを見ましたが、このマルウェアは Ubuntu 14.04 で問題になるのでしょうか?
私の Ubuntu で Linux 用に記載されている場所を見つけることができませんでした。また、通常はブラウザで Java をオフにしていますが (安全なはずですが)、時々オンにしています (安全ではないのでしょうか)。しばらく前に Java ゲームをプレイしましたが、それがクラッシュの前か後かはわかりません。
私が質問しているのは、Firefox ではかなり定期的にランダムにクラッシュする問題が発生しており、gThumb でもごくまれにクラッシュするのですが、他のアプリやパッケージではクラッシュの問題は発生していないようです。
Firefox をモバイル Firefox バージョンに置き換えましたが、Firefox のクラッシュにはまったく変化がありません。アドインは何も影響せず、いつもの無数のアドインもすべて同じままです。Firefox はランダムにクラッシュし、長時間正常に動作する場合もあれば、クラッシュが続く場合もあります。
壊れたパッケージを修正するために Synaptic パッケージ マネージャーを使用しました。また、更新も行いました。検索でリストされているアプリ/パッケージのクラッシュに関するその他の情報も読みましたが、何も変わりません。
Nvidia ドライバーのインストール時に Ubuntu が壊れてしまいました (Nouveau ドライバーのままにしておくべきでした)。しかし、すべて自力で復旧できました。とても誇りに思っています。 :)
ところで、答える前に「CrossRAT は、Windows、Solaris、Linux、macOS という 4 つの一般的なデスクトップ オペレーティング システムをターゲットにできるクロスプラットフォームのリモート アクセス トロイの木馬です...」したがって、Linux は Windows ウイルスとは異なる動作をする、という標準的な考えは当てはまらないでください。この blipin POS は Linux で動作するため、これは当てはまらないケースの 1 つです。
また、記事では Denebian については言及されていますが、Ubuntu については言及されていません。また、記事によると、ほとんどのウイルス検出ツールはこの POS を検出しません。
答え1
はい、そうですが、同じルールが適用されます。つまり、脅威ではありますが、許可した場合のみです。インストールをアクティブ化する必要があります。私にとっては、システム上でこれをアクティブ化しないだけで十分です。
このマルウェアについて:
このマルウェアが出現する場所は 2 か所あります。
- ファイル
mediamgrs.jar、/usr/var/ ファイルは
~/.config/autostartおそらく という名前ですmediamgrs.desktop。- 1 つ目は、管理者パスワードを入力しない限り、そこに存在することはできません。
/usr/これは「root」によって所有されているため、プログラムを保存するには管理者パスワードが必要です。 - 2番目は自分でダウンロードしない限り不可能です。
- 1 つ目は、管理者パスワードを入力しない限り、そこに存在することはできません。
だから、Linuxは違うことをする標準を与えないでください
申し訳ありませんが、それは依然として真実です。Linux は Windows とは異なる動作をします。管理者パスワードを安全に保ち、何も恐れることはありません。
それに加えて、2 つのファイルが存在する場合は、それらを削除するだけでシステムから削除できます。
コメントに関して:
マルウェアは、usr の新しい dir var に侵入します。「2 番目の問題は、管理者パスワードを入力する必要がある場合、またはあなたが言うように「自分でダウンロードする」必要がある場合、Web ページがユーザーに知られずにクリーチャーをインストールする方法です。」Linux ではできません。ダウンロードは常にブラウザーからのデフォルトのダウンロードになります。つまり、ダウンロードする必要があります。ダウンロードを実行する必要があります。求められたら、管理者パスワードを提供する必要があります。/home の外部に定着しようとするマルウェアの問題がわかりますか? /home 内であっても、ダウンロードを実行する必要があります。
「wine」は Windows です。したがって、確かに wine は常に問題となりますが、繰り返しますが、管理者権限を要求されることがわかっている場合を除いて、管理者権限を挿入しないでください = 99.8% 安全 (100% になることは決してありません)。残りの 0.2% に関連する問題は、管理者であるかバックアップがあるために修正できます :) 「私は「mediamgrs」ファイルを持っていませんが、名前の変更には 1 秒しかかからないため、この点は安心できません。」 まあ、マルウェアがランダムなファイル名を使用することは実際には不可能なので、安全です。
別の名前を使用する可能性もありますが、誰かがその名前もリストアップするでしょう。このマルウェアは 2 つの場所を使用します (1 つは /usr/var/ に、もう 1 つはデスクトップ ファイルとして .config を使用します。簡単に見つけられます。削除も簡単です。コマンド ラインに慣れているユーザーや管理者パスワードに注意深いユーザーにとっては、それほど問題ではありません ;) )。マルウェア作成者の目的も考慮してください。彼らは金儲けをしたいのです。多くの場合、電子メール アドレス、クレジットカード情報などを収集します。そして、できればできるだけ早く...。Windows は依然としてはるかに簡単なターゲットです。
一般的なヒント:
- 共有ディレクトリは使用しないでください。Samba と wine はエントリ ポイントですが、この種の方法を悪用するにはマルウェア/ウイルスを作成する必要があります。
- パスワードを必要とするプロセスを自動化しないでください。
- 管理者パスワードを安全に保管してください
- バックアップを作成(および復元できることを確認します)します。他のすべてが失敗した場合は、個人データのバックアップだけで多くの問題を解決できます。
答え2
/usr/var への書き込みの必要性に関しては、crossRAT は /usr/var に書き込めない場合、~/Library にフォールバックすることに注意してください。他のコメンテーターが指摘しているように、感染を防ぐ唯一の現実的な方法は、ブラウザ (または電子メール クライアント) に .jar ファイルを実行させないことです。