Esta mañana estaba actualizando wget y Symantec me notificó acerca de los troyanos detectados en locale.exe y tzset.exe
¿Esto significa que mi instalación de cygwin está infectada?
Esta mañana estaba actualizando wget y Symantec me notificó acerca de los troyanos detectados en locale.exe y tzset.exe
¿Esto significa que mi instalación de cygwin está infectada?
Respuestas:
Esto es muy probablemente un falso positivo. Trojan.ADH.2 es un nombre que Symantec usa para identificar amenazas "desconocidas" detectadas heurísticamente, es decir, cosas que no coinciden con la firma de una amenaza conocida, pero tienen cualidades que hacen que Symantec sea sospechosa. Una búsqueda rápida en la web sugiere que los falsos positivos que identifican esta amenaza son bastante comunes. Preguntas frecuentes de Cygwin También sugiere que su producto en general tiende a espantar el software antivirus.
Un hilo en los foros de Norton. contiene instrucciones para restaurar los archivos de la cuarentena, excluirlos de futuros análisis y enviar muestras de ellos a los ingenieros de Symantec para que puedan ajustar la heurística para evitar esa clase particular de falso positivo.
Tuve exactamente el mismo problema después de actualizar ayer, pero mis claves SSH están bien. Es casi definitivamente un falso positivo de Symantec. Desafortunadamente, Symantec también decidió "eliminar" mis archivos ejecutables en lugar de ponerlos en cuarentena.
En caso de que haya encontrado el mismo problema, puede volver a instalar estos ejecutables ejecutando nuevamente el instalador de Cygwin y eligiendo reinstalar los paquetes cygwin / coreutils / cygutils.
Envié la solicitud falsa positiva de locale.exe a Symantec y ellos verificaron mi envío. Distribuirán nuevas definiciones por LiveUpdate, la cual elimina la detección de localizar.exe.
Pero lo siento, no tuve ningún problema con tzset.exe, por lo que el estado de este es aún desconocido ...
Actualización a partir de julio de 2014: Symantec utiliza nuevamente las heurísticas Tojan.ADH.2 (obviamente locas) para etiquetar los últimos col.exe, tzset.exe y locale.exe de Cygwin como virus (para la cuarentena o eliminación de los mismos).
Por lo tanto, cualquier aprendizaje que Symantec haya realizado el año pasado se ha resuelto.
También he enviado estos a Symantec como falsos positivos, ellos (¿otra vez?) Han verificado que sus herramientas son fraudulentas:
En relación a la sumisión [3576111].
Tras un posterior análisis e investigación hemos verificado su presentación y, como tal, esta detección se eliminará de nuestra productos
La detección actualizada se distribuirá en el siguiente conjunto de virus. definiciones, disponibles a través de LiveUpdate o desde nuestro sitio web en ...