Cygwinのlocale.exeおよびtzset.exeトロイの木馬

Question

今朝wgetを更新していましたが、locale.exeとtzset.exeでトロイの木馬が検出されたことがSymantecから通知されました。

これは、cygwinインストールが感染していることを意味しますか？

tgies · Accepted Answer

これはおそらく誤検知です。 Trojan.ADH.2 は、ヒューリスティックに検出された「未知の」脅威を識別するためにSymantecが使用する名前です。つまり、既知の脅威のシグネチャとは一致しないが、Symantecを疑わせる性質を持つものです。簡単なウェブ検索は、この脅威を特定する誤検知が非常に一般的であることを示唆しています。 CygwinのFAQ は、彼らの製品が一般的にウイルス対策ソフトウェアをだます傾向があることも示唆しています。

ノートンフォーラムのスレッドファイルを検疫から復元し、将来のスキャンからファイルを除外し、それらのサンプルをSymantecエンジニアに送信して、ヒューリスティックを調整して特定のクラスのfalseを回避する手順が含まれていますポジティブ。

Ben Cassell · Answer

昨日更新した後もまったく同じ問題が発生しましたが、SSHキーはすべて問題ありません。これは、ほぼ間違いなく、Symantecからの誤検知です。残念ながら、Symantecは、実行可能ファイルを検疫するのではなく、削除することも決定しました。

同じ問題が発生した場合に備えて、Cygwinインストーラーを再実行し、cygwin/coreutils/cygutilsパッケージの再インストールを選択することで、これらの実行可能ファイルを再インストールできます。

hiroki · Answer

私はlocale.exeの誤検知リクエストをSymantecに送信し、彼らは私の送信を確認しました。彼らはLiveUpdateによって新しい定義を配布します魔女はlocate.exeの検出を削除します。

申し訳ありませんが、tzset.exeに問題はなかったので、このステータスはまだ不明です...

Chris Kuklewicz · Answer

2014年7月からの更新：Symantecは、（明らかにクレイジーな）Tojan.ADH.2ヒューリスティックを再び使用して、Cygwinの最新のcol.exe、tzset.exe、およびlocale.exeをウイルスとして（検疫または削除のために）ラベル付けします。

したがって、ノートンライフロックが昨年行った学習はすべてうまくいきました。

また、これらを誤検知としてSymantecに提出しました。彼らは、ツールが不正であることを（再び？）確認しました。

提出に関連して[3576111]。

さらなる分析と調査の結果、お客様の提出物を確認したため、この検出は当社の製品から削除されます。

更新された検出は、LiveUpdateまたは当社のWebサイトから入手できる次のウイルス定義セットで配布されます...