Windows Defender сообщает о троянском вредоносном программном обеспечении Win64/Longage в Ubuntu 18.04.3 живой сервер
Декабрь 2019 Windows Defender 8 сообщает о серьезном троянском вредоносном программном обеспечении Win64/Longage в Ubuntu 18.04.3 живой сервер, файл:
ubuntu-18.04.3-live-server-amd64.iso->
pool\main\l\linux\linux-modules-4.15.0-55-generic_4.15.0-55.60_amd64.deb->data.tar.xz->(xz)->
./lib/modules/4.15.0-55-generic/kernel/drivers/md/raid456.ko
1 ответ
Сегодня я получил то же самое сообщение. Я загрузил .iso снова на отдельную машину Ubuntu и проверил контрольную сумму:
$ echo "b9beac143e36226aa8a0b03fc1cbb5921cff80123866e718aaeba4edb81cfa63 *ubuntu-18.04.3-live-server-amd64.iso" | shasum -a 256 --check
ubuntu-18.04.3-live-server-amd64.iso: OK
После этого я извлек рассматриваемый файл (raid456.ko) и загрузил на virustotal.com: https://www.virustotal.com/gui/file/9443cd40874b29cf452a7af3a033fc72f5afff26e2bfd43ca0dfcf81c5a9127f/detection
Это было в последний раз проанализировано месяц назад, и это было прекрасно. Я повторно проанализировал его снова, и кажется, что теперь Microsoft является единственной, обнаруживающей это как Trojan:Win64/Longage: Снимок экрана
Я сказал бы, что новые подписи Microsoft Defender инициировали ложь, положительную здесь. Даже в очень маловероятном событии, что Ubuntu встроила бы троянца в .iso, сама машина Windows не делает / не должен выполнять Linux (ELF) двоичные файлы и нет ничего для волнения о на стороне Windows. Однако, если бы это имело место, то у нас, конечно, была бы намного большая проблема для волнения о.
Я отправил этот файл Microsoft и отметил его как положительную ложь, с помощью этой ссылки: https://www.microsoft.com/en-us/wdsi/filesubmission
Я обновлю этот ответ, когда/если я получу ответ от аналитика Microsoft.
ОБНОВЛЕНИЕ: Никакой ответ от Microsoft все же, но их механизм больше не обнаруживает это. TrendMicro делает теперь все же. Вероятность, что это - положительная ложь, чрезвычайно высока.
ОБНОВЛЕНИЕ 2: Я также отправил файл TrendMicro вчера (никакой ответ все же - не продолжит). Я считаю этот случай закрытым. Ответ от Microsoft:
Мы удалили обнаружение. Выполните шаги ниже, чтобы очистить кэшируемое обнаружение и получить последние вредоносные определения.
- Открытая командная строка как администратор и каталог изменения к c:\Program Files\Windows Defender
- Выполните “MpCmdRun.exe-removedefinitions-dynamicsignatures”
- Выполненный "MpCmdRun.exe-SignatureUpdate"
С другой стороны, последнее определение доступно для скачивания здесь: https://www.microsoft.com/en-us/wdsi/definitions
Спасибо за контакт с Microsoft.