Windows DefenderがUbuntu 18.04.3ライブサーバーでWin64 / Longage Trojanマルウェアを報告する
Windows Defender 8 Dec 2019レポートWin64/Longage Ubuntu 18.04.3ライブサーバーに存在する重大なトロイの木馬マルウェア、ファイル:
ubuntu-18.04.3-live-server-AMD64.iso->
pool\main\l\linux\linux-modules-4.15.0-55-generic_4.15.0-55.60_AMD64.deb->data.tar.xz->(xz)->
./lib/modules/4.15.0-55-generic/kernel/drivers/md/raid456.ko
今日もまったく同じメッセージを受け取りました。 .isoを別のUbuntuマシンに再度ダウンロードして、チェックサムを確認しました。
$ echo "b9beac143e36226aa8a0b03fc1cbb5921cff80123866e718aaeba4edb81cfa63 *ubuntu-18.04.3-live-server-AMD64.iso" | shasum -a 256 --check
ubuntu-18.04.3-live-server-AMD64.iso: OK
その後、問題のファイル(raid456.ko)を抽出し、virustotal.comにアップロードしました: https://www.virustotal.com/gui/file/9443cd40874b29cf452a7af3a033fc72f5afff26e2bfd43ca0dfcf81c5a9127f/detection
1か月前に最後に分析され、問題ありませんでした。私は再度それを再分析しましたが、今ではこれをTrojan:Win64/Longageとして検出しているのはMicrosoftだけです: Screenshot
ここでは、新しいMicrosoft Defenderの署名が誤検知を引き起こしたと思います。 Ubuntuが.isoにトロイの木馬を埋め込んだという非常にまれなイベントでさえ、Windowsマシン自体はLinux(ELF)バイナリを実行しない/実行すべきではなく、Windows側で心配することは何もありません。しかし、もしそうだとすれば、もちろん、もっと大きな問題が心配になるでしょう。
このファイルをマイクロソフトに送信し、次のリンクを使用して、誤検知のフラグを立てました: https://www.Microsoft.com/en-us/wdsi/filesubmission
この回答は、マイクロソフトのアナリストからの返信を受け取ったときに更新します。
更新:マイクロソフトからの応答はまだありませんが、エンジンはこれを検出しなくなりました。 TrendMicroは今でもそうです。これが誤検知である可能性は非常に高いです。
更新2:昨日、ファイルをTrendMicroに送信しました(まだ返信はありません-フォローアップしません)。このケースはクローズしたと思います。マイクロソフトからの返信:
検出を削除しました。キャッシュされた検出をクリアし、最新のマルウェア定義を取得するには、以下の手順に従ってください。
- 管理者としてコマンドプロンプトを開き、ディレクトリをc:\ Program Files\Windows Defenderに変更します。
- 「MpCmdRun.exe -removedefinitions -dynamicsignatures」を実行します
- 「MpCmdRun.exe -SignatureUpdate」を実行します
または、最新の定義はこちらからダウンロードできます: https://www.Microsoft.com/en-us/wdsi/definitions
マイクロソフトにお問い合わせいただきありがとうございます。