[ubuntu-jp:5578] Re: clamscan found this: BOOTx64.EFI: Win.Trojan.Agent-1428496 FOUND

Joel Rees joel.rees @ gmail.com
2016年 8月 26日 (金) 02:31:03 UTC 

申し訳ございません。グーグルメールを止めな飽かんってわかるけど、…

On Fri, Aug 26, 2016 at 11:04 AM, Joel Rees <joel.rees @ gmail.com> wrote:
> 英語のリストに投稿しました:
>
> https://lists.ubuntu.com/archives/ubuntu-users/2016-August/287082.html
>
> 内容は、友人の MSWindows 8機が行儀悪くして、僕がそのパソコンの中身を調べることにしています。 ubuntu 14.04日本語版の
> LiveUSB を起動さして、文章が

MSOffice の文章がちゃんと Libreoffice に読めることを確認して半分安心しました。

ただ、家に戻ったら、念の為そのライブUSBを clamavでスキャン取りました。以下のようなものが見つかった。

> /media/Ubuntu 14.04 ja amd64/EFI/BOOT/BOOTx64.EFI: Win.Trojan.Agent-1428496 FOUND

はっきりと覚えていないのですが、多分2014年4月にその liveUSBを組み合わせたらしい。

virustotal で調べると

>  https://www.virustotal.com/en/file/ca85b6bbc2633bd00d427765b92b55de21e1ec27fe44611b541bc2c9f187bc9f/analysis/

これがジェネリック勝手口のように疑われるそうです。しかし、特定できるような証拠がなく、確認もありません。

メッセージダイジェストが僕の持っているものと違います。

僕が持っているもののメッセージダイジェストを調べると、2016年5月29日の知らせに出ています。

>  http://www.gossamer-threads.com/lists/clamav/virusdb/66319

その他、ドイツ語のページに出ていて無視されている様子があって、あまり結論を出してくれないフランス語のページにも、怪しいと言う以外になにも言わないスペイン語のページにも出ることがあります。

英語のマールリストに、ライブUSBの

>  amd64/EFI/BOOT/BOOTx64.EFI

を clamscan 及び 「gpg --print-mds」で調べるように頼みました。

自分のメッセージダイジェストは以下の通りです。

>> gpg --print-mds gives this:
>>
>> -------------------------
>> /media/ride/efimalw/BOOTx64.EFI:    MD5 = 70 95 61 93 24 A9 FB 78  64 22 D7 42 7C 05 64 05
>> /media/ride/efimalw/BOOTx64.EFI:   SHA1 = 4A5C 6E0B 61E9 1432 7057 4D41 FF83 B054 613A 1763
>> /media/ride/efimalw/BOOTx64.EFI: RMD160 = 939D EE8B 340F E60D 5615 615E 7526 300F 98AC D16E
>> /media/ride/efimalw/BOOTx64.EFI: SHA224 = D60E3D22 9800A2CE 97278C29 19BB9848 66EBC379 7634922F 957C9B27
>> /media/ride/efimalw/BOOTx64.EFI: SHA256 = B6058875 CA3D3CC2 BD8925E1 255942EC A445C81C 0F93619C 4BAB5508 ECC56B92
>> /media/ride/efimalw/BOOTx64.EFI: SHA384 = 735D543F FE1D3CE7 FEFBB38A 1AC23128 FCBC47A6 79A75C78 3CA1C91F B1BDB7C5 3E70BDBB 7505CD46 1A0C1C41 37255129
>> /media/ride/efimalw/BOOTx64.EFI: SHA512 = 986E5B79 39EC83E4 9F2B03B4 EF9996CB 2540EDB7 92D63198 5907FFAF EDE06AFF 38770556 743793BD 914BCE99 6060BB73 1863B084 A2B8B538 649A80D5 7E0CBDFA
>> --------------------------

Nils Kassube は確認してくれています。

> I don't have clamscan installed, but the BOOTx64.EFI of the Ubuntu 14.04
> image seems to be the same as yours.
>
>> gpg --print-mds gives this:
>>
>> -------------------------
>> /media/ride/efimalw/BOOTx64.EFI:    MD5 = 70 95 61 93 24 A9 FB 78  64
>> 22 D7 42 7C 05 64 05
> /mnt/EFI/BOOT/BOOTx64.EFI:    MD5 = 70 95 61 93 24 A9 FB 78  64 22 D7 42
> 7C 05 64 05
>
>> /media/ride/efimalw/BOOTx64.EFI:   SHA1 = 4A5C 6E0B 61E9 1432 7057
>> 4D41 FF83 B054 613A 1763
> /mnt/EFI/BOOT/BOOTx64.EFI:   SHA1 = 4A5C 6E0B 61E9 1432 7057  4D41 FF83
> B054 613A 1763

日本のユーザさまに確認していただけると非常にありがたく思います。

-- 
Joel Rees

I'm imagining I'm a novelist:
http://joel-rees-economics.blogspot.com/2016/06/econ101-novel-toc.html

ubuntu-jp メーリングリストの案内