Virus ou bug de avscan ?

Hello,

je me suis installer avec apt-get avscan (3.1.1)
avec ce qui est requit a savoire: clamav 0.90.1-3.1 lenny2

et quand je fait un scan de /proc j’obtien le log suivan.

# AntiVirus Scanner - Version 3.1.1 - Scan Results Log
#
# Run view this log verbosely; run AVScan, click on the Results
# tab, go to Results->Open..., and open this file.
#
#StartTime=1180221270
#Duration=72
#NScanned=144
#NInfected=1
#NProblems=0
#Total=143
#BlocksScanned=602240
#Location=/proc
#Status=1 Virus Found   0 Problems Found   Duration: 1:12
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
"/proc/asound" Clean
"/proc/ide" Clean
"/proc/crypto" Clean
"/proc/key-users" Clean
"/proc/swaps" Clean
"/proc/kallsyms" Clean
"/proc/dma" Clean
"/proc/iomem" Clean
"/proc/ioports" Clean
"/proc/scsi" Clean
"/proc/misc" Clean
"/proc/acpi" Clean
"/proc/fb" Clean
"/proc/irq" Clean
"/proc/bus" Clean
"/proc/tty" Clean
"/proc/driver" Clean
"/proc/fs" Clean
"/proc/sys" Clean
"/proc/sysvipc" Clean
"/proc/net" Clean
"/proc/sysrq-trigger" Clean
!"/proc/kcore" Trojan.Downloader.Small-149
"/proc/modules" Clean
"/proc/diskstats" Clean
"/proc/zoneinfo" Clean
"/proc/vmstat" Clean
"/proc/buddyinfo" Clean
"/proc/slabinfo" Clean
"/proc/interrupts" Clean
"/proc/stat" Clean
"/proc/partitions" Clean
"/proc/cpuinfo" Clean
"/proc/devices" Clean
"/proc/kmsg" Clean
"/proc/mounts" Clean
"/proc/execdomains" Clean
"/proc/locks" Clean
"/proc/cmdline" Clean
"/proc/filesystems" Clean
"/proc/version" Clean
"/proc/meminfo" Clean
"/proc/uptime" Clean
"/proc/loadavg" Clean
"/proc/self" Clean
"/proc/1" Clean
"/proc/2" Clean
"/proc/3" Clean
"/proc/4" Clean
"/proc/5" Clean
"/proc/8" Clean
"/proc/9" Clean
"/proc/142" Clean
"/proc/192" Clean
"/proc/193" Clean
"/proc/194" Clean
"/proc/195" Clean
"/proc/327" Clean
"/proc/328" Clean
"/proc/330" Clean
"/proc/331" Clean
"/proc/336" Clean
"/proc/337" Clean
"/proc/359" Clean
"/proc/755" Clean
"/proc/1052" Clean
"/proc/1236" Clean
"/proc/1746" Clean
"/proc/1779" Clean
"/proc/1781" Clean
"/proc/1783" Clean
"/proc/1785" Clean
"/proc/1787" Clean
"/proc/2144" Clean
"/proc/2545" Clean
"/proc/2555" Clean
"/proc/2608" Clean
"/proc/2695" Clean
"/proc/2711" Clean
"/proc/2719" Clean
"/proc/2727" Clean
"/proc/2728" Clean
"/proc/2734" Clean
"/proc/2741" Clean
"/proc/2748" Clean
"/proc/2765" Clean
"/proc/2772" Clean
"/proc/2786" Clean
"/proc/2787" Clean
"/proc/2798" Clean
"/proc/2811" Clean
"/proc/2849" Clean
"/proc/2851" Clean
"/proc/2857" Clean
"/proc/2865" Clean
"/proc/2874" Clean
"/proc/2936" Clean
"/proc/2949" Clean
"/proc/2953" Clean
"/proc/2987" Clean
"/proc/2988" Clean
"/proc/2989" Clean
"/proc/2990" Clean
"/proc/2991" Clean
"/proc/2992" Clean
"/proc/3046" Clean
"/proc/3094" Clean
"/proc/3097" Clean
"/proc/3098" Clean
"/proc/3100" Clean
"/proc/3106" Clean
"/proc/3113" Clean
"/proc/3115" Clean
"/proc/3119" Clean
"/proc/3126" Clean
"/proc/3128" Clean
"/proc/3135" Clean
"/proc/3137" Clean
"/proc/3138" Clean
"/proc/3144" Clean
"/proc/3146" Clean
"/proc/3148" Clean
"/proc/3153" Clean
"/proc/3154" Clean
"/proc/3160" Clean
"/proc/3188" Clean
"/proc/3190" Clean
"/proc/3192" Clean
"/proc/3193" Clean
"/proc/3212" Clean
"/proc/3220" Clean
"/proc/3223" Clean
"/proc/3225" Clean
"/proc/3248" Clean
"/proc/3259" Clean
"/proc/3263" Clean
"/proc/5091" Clean
"/proc/5092" Clean
"/proc/5093" Clean
"/proc/5113" Clean
"/proc/5114" Clean
"/proc/5118" Clean
"/proc/5121" Clean
"/proc/5140" Clean

un peut plus tard apres un redemarrage, j’ai refait un scan

# AntiVirus Scanner - Version 3.1.1 - Scan Results Log
#
# Run view this log verbosely; run AVScan, click on the Results
# tab, go to Results->Open..., and open this file.
#
#StartTime=1180131809
#Duration=616
#NScanned=9905
#NInfected=1
#NProblems=1
#Total=534642
#BlocksScanned=1526172
#Location=/
#Status=1 Virus Found   1 Problem Found   Duration: 10:16
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
"//proc/acpi/event" Device or resource busy
!"//proc/kcore" Trojan.Spy.Small-3.dll

d’âpres ce que j’ais lu sur le net le fichier kore est un fichier est volatile qui contien la memoire du pc ou quelque chose dans ce genre la. mai bon le problème persiste âpres le démarrage.

je pencherai plutot pour un bug mai bon…
une idée?

Je crois qu’il faut arrêter de flipper les gars …
ya pas de virus sous linux … quand y’en aura, on sera tous au courant dans les heures qui suivent … non ?
Surtout logés dans /proc :open_mouth:

Salut,

LibClamAV Warning: ***********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON’T PANIC! Read clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************

Ce n’est pas la peine de se servir d’un anti-virus pas mis à jour
:smiley:

non. mais paradoxalement, avec clamav sur debian c’est normal d’avoir ce message.
Debian est souvent en retard sur le moteur, mais pas sur les signatures.
mais
panthere: pour être à jour sur l’antivirus, il faut ajouter les dépots qui correspondnt à ta release ici debian.org/volatile/

et indépendament de ce que dit usinagaz, le Trojan.Downloader.Small-149 est un virus windows, donc c’est une detection erronée.

[quote=“ggoodluck47”]Salut,

LibClamAV Warning: ***********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON’T PANIC! Read clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************

Ce n’est pas la peine de se servir d’un anti-virus pas mis à jour
:smiley:[/quote]

pour qu’il soit a jour faudrais deja que des virus ai vu le jour sous linux.

il y en a:
claymania.com/unix-viruses-fr.html
Mais ça ne veut pas dire qu’ils puissent pour l’instant faire le moindre dégat.

Oui c’est vrai qu’il y en a, on en avait déjà discuter, mais si peu …
Aprés un post linux peut refiler les virus windows à un post windows c’est sûr, sans être atteint lui-même.

[quote=“mattotop”]et indépendament de ce que dit usinagaz, le Trojan.Downloader.Small-149 est un virus windows, donc c’est une detection erronée.[/quote]ah mais j’avais pas vu cette ligne, ok.
C’est quoi ce troyan ?

Malin, /proc/kcore est la mémoire en accès direct, et lorsqu’il scanne des fichiers, il doit avoir en mémoire les signatures des virus. Il est normal qu’il trouve un virus dans la mémoire du coup, tout simplement parce qu’il y retrouve la signature. Donc à mon avis, pas de panique et va en paix :slightly_smiling:

PS: Je ne suis pas sûr que ça soit une bonne idée de scanner /proc mais bon…
RePS: Il faudrait quand même être sur, un clamscan /proc/kcore ne donne rien chez moi, mais j’ai une petite mémoire 256M)

[quote=“fran.b”] un clamscan /proc/kcore ne donne rien chez moi, mais j’ai une petite mémoire 256M)[/quote]Qu’est que ça sera à mon âge. :laughing:
:arrow_right: :arrow_right: :unamused:

[quote=“mattotop”]non. mais paradoxalement, avec clamav sur debian c’est normal d’avoir ce message.
Debian est souvent en retard sur le moteur, mais pas sur les signatures.
mais
panthere: pour être à jour sur l’antivirus, il faut ajouter les dépots qui correspondnt à ta release ici debian.org/volatile/

et indépendament de ce que dit usinagaz, le Trojan.Downloader.Small-149 est un virus windows, donc c’est une détection erronée.[/quote]

oui je pense a un bug car s’il scan la mémoire il ce peux qu’il croise une de ces propres signature.

j’ai la vertion testing de etch qui est passer a lenny j’utilise cela dans mon sources.list ?

Pour info les virus sous linux bien que rare, peuve nuire aux fonctionnement du systeme, sans parler du faite que votre pc ce transforme en zombie sans compte une failel détectée trop tard et vlang . Bref de temps a autres un petit contrôle et sa roule, donc plutot que laisser l’ antivirus scanner comme sous win en mémoire en permanences, je préfere balancer un scan de temps a autres c’est a dire quand je fait rien avec un log et hop sa roule :slightly_smiling:
mieux vaut prévenir que ce taper une ré-installation.

voila simple pas de quoi dramatiser

Merci pour vos réponse

quote="panthere"
j’ai la vertion testing de etch qui est passer a lenny j’utilise cela dans mon sources.list ?[quote]deb volatile.debian.org/debian-volatile etch/volatile main contrib non-free[/quote][/quote]Pas clair: si tu as laissé du testing partout dans les anciennes sources, c’est que tu es passé en lenny sans le savoir. Si tes sources sont notées “etch”, et pas “testing”, alors tu es toujours bien en etch et tu peux prendre les depots volatiles etch (c.à.d. stable). [quote=“panthere”]Pour info les virus sous linux bien que rare, peuve nuire aux fonctionnement du systeme,[/quote]Non. Pas dans une utilisation normale de linux: il faut d’abord que le virus obtienne des droits root, et personne de raisonnable ne lit son mail en root (ni ne fait rien de plus que l’essentiel d’ailleurs). Il faut VOLONTAIREMENT faire sauter les protections pour que les virus existant marchent.[quote=“panthere”] sans parler du faite que votre pc ce transforme en zombie sans compte une failel détectée trop tard et vlang . Bref de temps a autres un petit contrôle et sa roule, donc plutot que laisser l’ antivirus scanner comme sous win en mémoire en permanences, je préfere balancer un scan de temps a autres c’est a dire quand je fait rien avec un log et hop sa roule :slightly_smiling:
mieux vaut prévenir que ce taper une ré-installation.[/quote]Les virus linux existent, comme je l’ai dit, mais jamais aucune machine n’a été infectée, sauf pour les besoins des tests. Il n’y a aucune crainte à avoir tant que linux ne devient pas une passoire comme windows. Pour l’instant, et pour longtemps, linux n’a pas de faille virale vraiment exploitable.[quote=“panthere”]voila simple pas de quoi dramatiser[/quote]Non, sauf si tu as des machines windows qui prennent des fichiers sur la machine linux. C’est le seul cas ou un antivirus ait un sens sous linux.[quote=“panthere”]Merci pour vos réponse[/quote]