我应该担心可能的威胁吗?
我最近安装了Ubuntu 12.10。 我使用Clamav并定期扫描我的系统感染。 今天它发现了一个潜在的威胁/usr/lib/ruby/1.9.1/rdoc/generator/template/darkfish/js/thickbox-compressed.js。 Ubuntu是我唯一安装的操作系统。 Clamav无法删除或隔离该文件。 我应该担心还是假阳性? 我已多次扫描同一个文件,每次都将其作为威胁。 此外,我在发布之前尝试使用Google搜索问题,但未找到任何信息。
我忘了提一点,clamav把它当作PUA.script.packed-1
该文件似乎属于libruby1.9.1包,应该在安装Ruby时安装。
如果该软件包来自默认存储库,我想这个警告应该没什么可担心的。 如果它来自PPA,那么你应该仔细看看。
要查看软件包的来源,可以使用apt-cache 。 从我的系统:
$ apt-cache policy libruby1.9.1 libruby1.9.1: Installed: (none) <-- This shows the installed version (not installed on my case) Candidate: 1.9.3.0-1ubuntu2.5 Version table: 1.9.3.0-1ubuntu2.5 0 500 http://pt.archive.ubuntu.com/ubuntu/ precise-updates/main amd64 Packages 500 http://security.ubuntu.com/ubuntu/ precise-security/main amd64 Packages 1.9.3.0-1ubuntu1 0 500 http://pt.archive.ubuntu.com/ubuntu/ precise/main amd64 Packages
还可以考虑在像VirusTotal这样的在线扫描程序中检查该文件。 如果只有clamav将其标记为可能的威胁,那么这可能是误报。
根据其他地方的类似post , PUA代表“可能不需要的应用程序”和script.packed “通常意味着它是使用导致AV警报的东西打包的,因为用于打包软件进行安装的方法”。
它继续并说
数以百计的小型开发人员只是因为他们决定使用打包器来构建他们的安装而得到可笑的“你给我的电脑发送病毒邮件”。
这里的另一个答案表明,如果您从存储库中安装了软件包,那么这可能也是误报。
编辑:对于网站至少, 在这里和这里 ,它被排除为误报,但你总是可以将文件上传到服务,如VirScan.org ,以检查多个防病毒引擎。