[Résolu] faux positif clamav sur palemoon et libreoffice

Blablo5979 · Le 23/08/2016, à 12:32

Bonjour,

Ce qui vient de m'arriver : je suis sur Facebook (navigateur Pale Moon) et d'un coup j'ai un MP d'une amitié. C'est un lien. J'y clique et j'ai une page d'entrée à un site de rencontres moins romantiques qu'explicites, ce qui n'est pas trop le genre de la copine en question.
Je ne clique pas (même si j'ai plus de 18 ans) et reviens à Facebook. Non, elle ne m'a pas envoyé cela. Du coup la page de Facebook (sur Pale Moon et seulement sur lui, car sur Firefox je n'ai pas le problème) n'affiche que deux nouvelles d'amis et la liste d'amis affichée normalement à droite a disparu.
Je ferme, je relance et tjrs pareil. Je fais un Clamav (j'y mets le paquet : gros fichiers, toute l'arborescence, etc) et lorsque je reviens il y a une liste longue (c'est habituel) dans les dossiers de Libre office mais aussi "PUA.html.exploit.CVE_2015_1692" dans le dossier de Pale Moon.
Je me pose la question : ce Pale Moon ... est il fiable ?
J'ai oublié de le préciser : Xubuntu 16.04 parfaitement à jour.

Merci par avance

Dernière modification par cqfd93 (Le 28/08/2016, à 21:43)

gl38 · Le 23/08/2016, à 14:51

On peut d'abord se demander si Facebook est fiable avant de cliquer sur n'importe quoi.
As-tu installé l'extension uBlock Origin ?
Je doute que clamav soit d'une utilité quelconque pour linux.
Cordialement,
Guy

Blablo5979 · Le 23/08/2016, à 15:12

gl38 a écrit :

On peut d'abord se demander si Facebook est fiable avant de cliquer sur n'importe quoi.
As-tu installé l'extension uBlock Origin ?
Je doute que clamav soit d'une utilité quelconque pour linux.
Cordialement,
Guy

Oui, il est installé. Suis je donc protégé ?

Nairwolf · Le 23/08/2016, à 15:21

Blablo5979 a écrit :

Ce qui vient de m'arriver : je suis sur Facebook (navigateur Pale Moon) et d'un coup j'ai un MP d'une amitié. C'est un lien. J'y clique et j'ai une page d'entrée à un site de rencontres moins romantiques qu'explicites, ce qui n'est pas trop le genre de la copine en question.
Je ne clique pas (même si j'ai plus de 18 ans) et reviens à Facebook.

Et bien, ton message initial est plutôt flou. Tu reçois par messagerie facebook un message un peu louche, et tu sembles avoir cliqué sur un lien, puisque tu dis qu'il s'agit d'un site de rencontres. Peut-être as-tu été victime de phishing. Si tu es allé sur ce site là, tu as peut-être téléchargé un code javascript malveillant qui s'est exécuté sur ta machine, qui sait ?

Blablo5979 · Le 23/08/2016, à 15:55

Nairwolf a écrit :

Blablo5979 a écrit :
Ce qui vient de m'arriver : je suis sur Facebook (navigateur Pale Moon) et d'un coup j'ai un MP d'une amitié. C'est un lien. J'y clique et j'ai une page d'entrée à un site de rencontres moins romantiques qu'explicites, ce qui n'est pas trop le genre de la copine en question.
Je ne clique pas (même si j'ai plus de 18 ans) et reviens à Facebook.
Et bien, ton message initial est plutôt flou. Tu reçois par messagerie facebook un message un peu louche, et tu sembles avoir cliqué sur un lien, puisque tu dis qu'il s'agit d'un site de rencontres. Peut-être as-tu été victime de phishing. Si tu es allé sur ce site là, tu as peut-être téléchargé un code javascript malveillant qui s'est exécuté sur ta machine, qui sait ?

Oui, j'ai cliqué sur le lien dans la fenêtre de MP mais dès que je me suis retrouvé dans la page d'accueil du site j'ai pas cliqué.
Je suis en train de réinstaller Xubuntu

nam1962 · Le 23/08/2016, à 16:16

...nettoyer historique, cache et cookies de PM aurait suffit...
Installe ublock origin et betterprivacy.

Blablo5979 · Le 23/08/2016, à 16:28

nam1962 a écrit :

...nettoyer historique, cache et cookies de PM aurait suffit...
Installe ublock origin et betterprivacy.

Oui, j'aurais dû faire cela. Bon, tout est réinstallé. Allez on repart de zéro.

Nairwolf · Le 23/08/2016, à 16:32

Blablo5979 a écrit :

Oui, j'ai cliqué sur le lien dans la fenêtre de MP mais dès que je me suis retrouvé dans la page d'accueil du site j'ai pas cliqué.
Je suis en train de réinstaller Xubuntu

Le simple fait d'être allé sur la page d'accueil de ce site malveillant peut avoir suffit à contaminer ta machine...

Blablo5979 · Le 23/08/2016, à 16:33

Nairwolf a écrit :

Blablo5979 a écrit :
Oui, j'ai cliqué sur le lien dans la fenêtre de MP mais dès que je me suis retrouvé dans la page d'accueil du site j'ai pas cliqué.
Je suis en train de réinstaller Xubuntu
Le simple fait d'être allé sur la page d'accueil de ce site malveillant peut avoir suffit à contaminer ta machine...

Si c'était le cas alors le fait d'avoir réinstallé ne sert à rien ? J'ai gardé mon Home.

Nairwolf · Le 23/08/2016, à 17:00

Tu as trouvé un fichier potentiellement dangereux PUA.html.exploit.CVE_2015_1692. Veille à ce qu'il soit correctement supprimé. Après, en principe, si un virus a été installé, il ne devrait pas se trouver dans ton "home", donc c'est sans doute bon. A confirmer.

nam1962 · Le 23/08/2016, à 17:33

Nairwolf a écrit :

Blablo5979 a écrit :
Oui, j'ai cliqué sur le lien dans la fenêtre de MP mais dès que je me suis retrouvé dans la page d'accueil du site j'ai pas cliqué.
Je suis en train de réinstaller Xubuntu
Le simple fait d'être allé sur la page d'accueil de ce site malveillant peut avoir suffit à contaminer ta machine...

Ah ? c'est nouveau, ca (ou alors on est sur un forum W$ et personne ne m'a prévenu ??)
Il n'y a pas de risque avéré dans cette histoire et le pua (qui peut être une faux positif) ne concerne que windows...

Nairwolf · Le 23/08/2016, à 17:40

nam1962 a écrit :

Nairwolf a écrit :
Blablo5979 a écrit :
Oui, j'ai cliqué sur le lien dans la fenêtre de MP mais dès que je me suis retrouvé dans la page d'accueil du site j'ai pas cliqué.
Je suis en train de réinstaller Xubuntu
Le simple fait d'être allé sur la page d'accueil de ce site malveillant peut avoir suffit à contaminer ta machine...
Ah ? c'est nouveau, ca (ou alors on est sur un forum W$ et personne ne m'a prévenu ??)
Il n'y a pas de risque avéré dans cette histoire et le pua (qui peut être une faux positif) ne concerne que windows...

Le ficher en question est sans doute un faux positif, ou ne cible que Windows, j'ai tendance à le croire. MAIS, le fait d'etre sur Linux n'interdit pas d'aller sur une page web, de télécharger du code javascript malveillant, n'est-ce pas ? A moins que Bablo n'utilisait une extension comme NoScript, il y a de forte chance que son navigateur télécharge par défaut le javascript et l'exécute dans le navigateur, comme 99% des internautes. Le code javascript téléchargé est malveillant ou pas, ça c'est une autre question.

Ubuntu1988 · Le 23/08/2016, à 17:46

Nairwolf a écrit :

Le simple fait d'être allé sur la page d'accueil de ce site malveillant peut avoir suffit à contaminer ta machine...

C'est plus un porteur sain qu'autre chose vu que ClamAV a une base de donnée propre à Windows. Si double boot il y a, penser à effacer le fichier infecté qui, comme dit plus haut, ne devrait pas avoir dépassé le cache du navigateur.

Après, pour Better Privacy, c'est totalement inutile ! Il suffit de mettre le dossier caché ~/.macromedia en lecture seule et plus aucun soucis de cookies flash.

jplemoine · Le 23/08/2016, à 18:00

Juste un truc, sachant que le navigateur s’exécute comme l'utilisateur de base, comment a-t-il fait pour infesté le système ?
Au pire, il a écrit dans le "home" qui justement a été conservé....
Dans il faudrait savoir si ["PUA.html.exploit.CVE_2015_1692" dans le dossier de Pale Moon.] est le dossier système : et là, c'est clairement un faux positif ou le dossier de son home (où il y a les marques-pages,..) et dans ce cas, il y est encore puisque le home a été conservé.

Blablo5979 · Le 23/08/2016, à 18:23

nam1962 a écrit :

Nairwolf a écrit :
Blablo5979 a écrit :
Oui, j'ai cliqué sur le lien dans la fenêtre de MP mais dès que je me suis retrouvé dans la page d'accueil du site j'ai pas cliqué.
Je suis en train de réinstaller Xubuntu
Le simple fait d'être allé sur la page d'accueil de ce site malveillant peut avoir suffit à contaminer ta machine...
Ah ? c'est nouveau, ca (ou alors on est sur un forum W$ et personne ne m'a prévenu ??)
Il n'y a pas de risque avéré dans cette histoire et le pua (qui peut être une faux positif) ne concerne que windows...

Je trouve toujours confus le sujet PUA sous linux. Y en a qui disent qu'il faut faire gaffe, y en a qui s'en moquent ...
Toujours est il que après cela l'interface de fesse de bouc ne marchait pas correctement sur PM. Je vais le réinstaller après le coup de clam aux fesses que je suis en train de lui foutre.

Blablo5979 · Le 23/08/2016, à 19:41

Bon, coup de Clamav fait. 57 fichiers suspects (que j'ai supprimé) dont :

PUA.Win.Exploit.CVE_2012_0110-1 dans /usr/share/mime/mime.cache

et (comme exemple car plus de 50)
des PUA contenant "TOOL" dans /usr-lib/libreoffice/share/basic etc

Après réinstallation de Pale Moon j'obtiens un affichage merdique (sans HTML, sur Facebook tout aligné à la verticale).

Qupzilla ne marche pas trp bien (constaté aussi sous Debian Stretch), je ne sais plus quel navigateur sûr, rapide et fiable utiliser à part Mozilla (qui ne plaît pas à tous je vois).

Nairwolf · Le 23/08/2016, à 19:49

Mozilla n'est pas un navigateur, c'est la fondation/entreprise qui est derrière le développement de Firefox.

Perso, j'utilise Firefox. Au delà de toutes les polémiques récentes, je trouve que ça évolue bien. Et je ne le trouve pas lent (je tourne malgré tout avec une bonne bécane), et les dernières versions avec la mémoire vive associé à chaque onglet devrait soulager ceux qui ont des problèmes de RAM.

Compte supprimé · Le 23/08/2016, à 19:50

Une recherche sur le net avec comme critère "PUA.Win.Exploit.CVE_2012_0110-1" n'affiche que des réponses avec Clamav sur des sytèmes GNU/Linux.
Ce serait un faux positif que ce ne serait pas étonnant.

Dernière modification par Compte supprimé (Le 23/08/2016, à 19:50)

Blablo5979 · Le 23/08/2016, à 20:04

Nairwolf a écrit :

Mozilla n'est pas un navigateur, c'est la fondation/entreprise qui est derrière le développement de Firefox.
Perso, j'utilise Firefox. Au delà de toutes les polémiques récentes, je trouve que ça évolue bien. Et je ne le trouve pas lent (je tourne malgré tout avec une bonne bécane), et les dernières versions avec la mémoire vive associé à chaque onglet devrait soulager ceux qui ont des problèmes de RAM.

Oui, Firefox est très bien si on a une bécane correcte. La mienne est vieille, moche et sansdents (cadeau de F. Hollande).

jplemoine · Le 23/08/2016, à 21:00

Faudra quand même que l'on m'explique comment le navigateur a réussi à écrire dans /usr/share et /usr/lib sans les droits root !!!!
Parce que si en visitant une page web, il a réussi à avoir un rootkit avec un utilisateur de base (donc sans rien installé coté système), il y a un sacré trou de sécurité !!!!

Ubuntu1988 · Le 23/08/2016, à 21:17

Il serait utile de connaître la façon dont PaleMoon a été installé et dans quel(s) dossier(s) précis la menace se trouve, car ça peut changer plein de choses

nam1962 · Le 23/08/2016, à 21:42

Ubuntu1988 a écrit :

(...)
Après, pour Better Privacy, c'est totalement inutile ! Il suffit de mettre le dossier caché ~/.macromedia en lecture seule et plus aucun soucis de cookies flash.

Ça te supprime les cookies LSO et leurs avatars...

Blablo5979 a écrit :

(...)
Je trouve toujours confus le sujet PUA sous linux. Y en a qui disent qu'il faut faire gaffe, y en a qui s'en moquent ...
(...).

Hummm...
1 - clamav detecte des malwares WINDOWS donc rien a voir avec Linux
2 - PUA veut dire potentiellement indésirable, donc on est pas sur que ce soit malicieux...
3 - en plus il y a des tonnes de faux positifs

Dernière modification par nam1962 (Le 23/08/2016, à 21:46)

Blablo5979 · Le 24/08/2016, à 05:34

Ubuntu1988 a écrit :

Il serait utile de connaître la façon dont PaleMoon a été installé et dans quel(s) dossier(s) précis la menace se trouve, car ça peut changer plein de choses

Installé en suivant les instructions trouvées ici :
https://software.opensuse.org/download. … e=palemoon

J ne fais plus confiance à ce machin. D'ailleurs (ce sera résolu dans un certain temps pt être) je vois que sous 16.04 (ainsi que Debian Stretch) les navigateurs légers sont instables, les petites natures qui ressemblent à ma bécane auront alors du mal car Firefox tourne très bien mais il faut être plus musclé que ça. Par exemple Qupzilla, qui n'affiche toujours pas les icônes dans la barre de favoris, se met mntnnt à ne pas me laisser logger dans mon compte mail Live.fr (Outlook).
Tant pis pour nous les pauvres ...

nam1962 · Le 24/08/2016, à 07:54

Tu peux regarder min ou netsurf aussi, je les décris [url=[modéré : pas d’auto-pub, merci]-le-bon-navigateur-avec-les-bonnes-extensions/]la[/url]

moko138 · Le 24/08/2016, à 08:53

Ubuntu1988 a écrit :

Il suffit de mettre le dossier caché ~/.macromedia en lecture seule et plus aucun soucis de cookies flash.

Oui (c'est ce que je fais sur les rares systèmes où j'installe flash.
MAIS,
jojo81 a signalé que certaines fonctions du site de Canal+ ne fonctionnent qu'avec les LSO.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 23/08/2016, à 12:32

[Résolu] faux positif clamav sur palemoon et libreoffice

#2 Le 23/08/2016, à 14:51

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#3 Le 23/08/2016, à 15:12

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#4 Le 23/08/2016, à 15:21

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#5 Le 23/08/2016, à 15:55

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#6 Le 23/08/2016, à 16:16

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#7 Le 23/08/2016, à 16:28

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#8 Le 23/08/2016, à 16:32

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#9 Le 23/08/2016, à 16:33

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#10 Le 23/08/2016, à 17:00

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#11 Le 23/08/2016, à 17:33

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#12 Le 23/08/2016, à 17:40

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#13 Le 23/08/2016, à 17:46

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#14 Le 23/08/2016, à 18:00

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#15 Le 23/08/2016, à 18:23

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#16 Le 23/08/2016, à 19:41

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#17 Le 23/08/2016, à 19:49

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#18 Le 23/08/2016, à 19:50

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#19 Le 23/08/2016, à 20:04

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#20 Le 23/08/2016, à 21:00

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#21 Le 23/08/2016, à 21:17

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#22 Le 23/08/2016, à 21:42

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#23 Le 24/08/2016, à 05:34

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#24 Le 24/08/2016, à 07:54

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

#25 Le 24/08/2016, à 08:53

Re : [Résolu] faux positif clamav sur palemoon et libreoffice

Pied de page des forums