Plik exe, który chcę uruchomić na systemie Linux utworzonym dla systemu Windows, pojawia się jako trojan na VirusTotal - jak mam go uruchomić bez wpływu na mój system?

8

Czy jest jakiś sposób, aby uruchomić ten program na moim systemie Linux, nie dostając wirusa?

Alex Poulos
źródło
Musisz nam powiedzieć, jaki wirus. Może potencjalnie działać w winie, w którym to przypadku może „zainfekować” dowolny plik, do którego użytkownik ma dostęp rw (większość wszystkiego w / home / twój_użytkownik). Jeśli nie uruchomisz go (lub Wine) jako root, prawdopodobnie nie wpłynie to na pliki systemowe.
Panther
Czy możesz nam dokładnie powiedzieć, jaki program chcesz uruchomić i skąd go masz? Jak powiedział bodhi.zaen, możesz po prostu mieć fałszywie pozytywny wynik, choć trudno powiedzieć, chyba że wiemy dokładnie, co masz.
Christopher Kyle Horton
Oto, co próbuję uruchomić: virustotal.com/file/… jest to modyfikator niestandardowego IOS dla wii - facet nalegał, aby nie był to wirus, ale skanery wirusów 3/42 powiedziały, że to trojan
Alex Poulos
3
Świetne pytanie! :)
Bruno Pereira
1
@AlexPoulos Na to, wszystko, co mogę powiedzieć, to to, że nie możesz być pewien, nie próbując tego. Dzieje się tak niezależnie od przypadkowego pliku lub oprogramowania otrzymywanego z Internetu, które nie są bezpośrednio od renomowanej organizacji. Możesz sam odczytać i skompilować kod źródłowy, jeśli jest dostarczony, lub skonfigurować maszynę testową z zainstalowanym Wine i zobaczyć, jakie są tam efekty. Ale jak powiedziałem wcześniej, nie sądzę, aby tym razem była to kwestia, chociaż ten osąd opiera się na prawdopodobieństwie.
Christopher Kyle Horton

Odpowiedzi:

8

Proszę mieć świadomość, że nawet trudne to będzie działać prawdopodobnie w porządku, działa wirusa wewnątrz każdego systemu na żywo nigdy nie jest dobrym pomysłem, nawet jeśli jesteś pewien , że można przywrócić / wyeliminować skutki wirusa. Dla bezpiecznego podejścia zalecana jest odpowiedź z bodhi.zazen . To najbezpieczniejsze kroki, aby uruchomić coś, co nie jest tak naprawdę bezpieczne.


Każdy program działający w prefiksie wina ma dostęp tylko do wirtualnej butelki w tym folderze prefiks wina w twoim domu i nic więcej. Są zamknięte w tej butelce.

To powiedziawszy, prawdą jest również to, że domyślnie utworzona butelka tworzy również standardowe łącza do twojego folderu domowego i głównego systemu plików, musisz upewnić się, że zostaną one usunięte przed uruchomieniem pliku wykonywalnego. Niektóre nieznośne trojany skanują sterowniki w poszukiwaniu pliku wykonywalnego lub innego określonego typu pliku i próbują je zainfekować.

Lepszą opcją jest utworzenie nowej butelki, a tym samym odizolowanie jej od zwykłej butelki, w tym celu musisz uruchomić plik .exe na osobnym prefiksie, zrób to, wykonując ten przykład:

export WINEPREFIX=~/wine_possible_trojan
wine winecfg

W tym momencie poszukaj zamontowanych punktów utworzonych dla butelki, powinny one znajdować się na karcie dysków, usuń wszystkie litery, które nie są c:\, co uniemożliwi trojanowi manipulowanie plikami w twoim domu lub głównym systemie plików:

wprowadź opis zdjęcia tutaj

Po usunięciu sterowników z butelki możesz uruchomić plik wykonywalny za pomocą właśnie utworzonej butelki za pomocą czegoś podobnego

WINEPREFIX=~/wine_possible_trojan wine path_to_exefile.exe

Po tym usunięciu ~/wine_possible_trojanusuniesz butelkę z twojego systemu, eliminując modyfikacje wykonane przez trojana w tej butelce.

Jeśli nie masz pewności, możesz również zainstalować skaner antywirusowy w systemie Linux i uruchomić go później), a może wcześniej, aby sprawdzić, czy coś wykryje), usuwając .wineprefiks. Obejrzyj ten post, aby zobaczyć dostępne opcje:


Inną opcją byłoby, jak powiedział bodhi.zazen , instalacja VirtualBox z Centrum Oprogramowania Ubuntu, instalacja Ubuntu lub Windows (jeśli jest dostępna) w nowym systemie wirtualnym w VirtualBox i uruchomienie .exe w tym systemie wirtualnym.

Aby uzyskać więcej informacji o VirtualBox, odwiedź stronę Wikipedii , oficjalną stronę VirtualBox i zobacz, jak zainstalować VirtualBox w AskUbuntu.com.


Widzę z raportu ze skanowania AV, który dodałeś do komentarzy, że tylko 1 silnik odebrał go ze wszystkich na liście, powiedziałbym, że fałszywie pozytywny.

Bruno Pereira
źródło
jak uruchomić to w odizolowanym środowisku?
Alex Poulos
Butelka wina jest rodzajem odizolowanego środowiska, usuń ~/.winei to środowisko zniknęło. Inne niż to, co mówi ci @ bodhi.zazen i uruchom je w systemie virtualbox.
Bruno Pereira
jakie aplikacje Virtualbox mogę pobrać i uruchomić dla Ubuntu?
Alex Poulos
czy jest jakiś pewny sposób, dzięki któremu mogę się upewnić, że nie zarazę się, jeśli go uruchomię?
Alex Poulos
Więc jest prawie podobny do piaskownicy?
Alex Poulos
11

Będziesz musiał uruchomić go w izolowanym systemie testowym, takim jak VM, i zbadać, co robi.

Co to dokładnie jest

Trudno uwierzyć, że trzeba „uruchomić” zainfekowany plik .exe.

Możliwe, że masz również wynik fałszywie dodatni (w zależności od tego, w jaki sposób wykryłeś wirusa i jakie, jeśli w ogóle, przeprowadzone dochodzenie).

Pantera
źródło
Jest to program stworzony przez kogoś do pomocy w modyfikowaniu niestandardowego IOS dla Wii. virustotal.com/file/…
Alex Poulos