Hoje, o clamAV escaneou minhas instâncias da AWS e detectou arquivos infectados em cada uma. Parece falso positivo devido a vários motivos:
Todos esses arquivos são criados em 2021 (por que só foram detectados agora?)
A porta SSH para cada instância é protegida por MFA + senha + VPN.
Todos esses arquivos estão no ambiente Conda e apenas arquivos exe estão infectados (minhas instâncias da AWS são Ubuntu OS).
Pode ser o mesmo problema aqui ?
/home/kidas/anaconda3/pkgs/conda-build-3.24.0-py310h06a4308_0/lib/python3.10/site-packages/conda_build/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/pkgs/conda-build-3.24.0-py310h06a4308_0/lib/python3.10/site-packages/conda_build/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/pkgs/conda-23.3.1-py310h06a4308_0/lib/python3.10/site-packages/conda/shell/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/pkgs/conda-23.3.1-py310h06a4308_0/lib/python3.10/site-packages/conda/shell/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda/shell/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda/shell/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda_build/cli-64.exe: Win.Virus.Expiro-10004389-0 FOUND
/home/kidas/anaconda3/lib/python3.10/site-packages/conda_build/cli-32.exe: Win.Virus.Expiro-10004389-0 FOUND
Resultados do VirusTotal (todos os AV mostraram - não detectados, espere estes AVs):
"ClamAV": {
"category": "malicious",
"engine_name": "ClamAV",
"engine_version": "1.1.0.0",
"result": "Win.Virus.Expiro-10004389-0",
"method": "blacklist",
"engine_update": "20230730"
},
"SymantecMobileInsight": {
"category": "type-unsupported",
"engine_name": "SymantecMobileInsight",
"engine_version": "2.0",
"result": null,
"method": "blacklist",
"engine_update": "20230119"
},
"Trustlook": {
"category": "type-unsupported",
"engine_name": "Trustlook",
"engine_version": "1.0",
"result": null,
"method": "blacklist",
"engine_update": "20230730"
},
"Avast-Mobile": {
"category": "type-unsupported",
"engine_name": "Avast-Mobile",
"engine_version": "230730-02",
"result": null,
"method": "blacklist",
"engine_update": "20230730"
},
"Google": {
"category": "malicious",
"engine_name": "Google",
"engine_version": "1690700450",
"result": "Detected",
"method": "blacklist",
"engine_update": "20230730"
},
"BitDefenderFalx": {
"category": "type-unsupported",
"engine_name": "BitDefenderFalx",
"engine_version": "2.0.936",
"result": null,
"method": "blacklist",
"engine_update": "20230729"
}
Com base na pergunta atualizada com os mecanismos do Virustotal, vejo que alguns dos mecanismos antivírus são detectados como malware. A melhor recomendação que posso dar é suspender todas as operações com esses arquivos por vários dias. E repita a verificação após uma semana. Então, se você vir mais mecanismos AV para confirmar que está infectado, poderá agir de acordo. Além disso, você pode abrir um caso para Clamav (nunca fez isso antes) e pedir uma investigação mais profunda.
Se apenas alguns nomes não tão conhecidos de AV levantarem uma bandeira, você pode confirmar com alta probabilidade que o arquivo está OK e retomar as operações.