Um arquivo exe que eu quero executar no linux feito para Windows aparece como um Trojan no VirusTotal - como eu o executaria sem afetar o meu sistema?

8

Existe alguma maneira de executar este programa no meu sistema Linux sem possivelmente receber um vírus?

Alex Poulos
fonte
Você teria que nos dizer qual vírus. Ele pode ser executado no wine e, nesse caso, pode "infectar" qualquer arquivo ao qual o usuário tenha acesso rw (quase tudo em / home / your_user). Se você não executá-lo (ou wine) como root, é improvável que isso afete os arquivos do sistema.
Pantera
Você pode nos dizer exatamente qual é o programa que você está tentando executar e de onde o obteve? Como o bodhi.zaen disse, você pode simplesmente ter um falso positivo, embora seja difícil dizer a menos que saibamos exatamente o que você tem.
Christopher Kyle Horton
Isto é o que estou tentando executar: virustotal.com/file/… é um modificador para um IOS personalizado para o Wii - o cara insistiu que não era um vírus, mas 3/42 scanners de vírus disseram que é um Trojan
Alex Poulos
3
Ótima pergunta! :)
Bruno Pereira
11
@AlexPoulos Para isso, tudo o que posso dizer é que você não pode ter certeza sem realmente tentar. Isso é verdade independentemente de qualquer arquivo ou software aleatório obtido da Internet que não seja diretamente de uma organização respeitável. Você pode ler e compilar o código-fonte, se for fornecido, ou configurar uma máquina de teste com o Wine instalado e ver quais são os efeitos. Mas, como eu disse antes, não acho que deva ser um problema desta vez, embora esse julgamento seja baseado na probabilidade.
Christopher Kyle Horton

Respostas:

8

Esteja ciente de que, por mais difícil que seja, provavelmente funcione bem, executar um vírus em qualquer sistema ativo nunca é uma boa idéia, mesmo se você tiver certeza de que pode reverter / eliminar os efeitos do vírus. Para uma abordagem mais segura, recomenda-se a resposta do bodhi.zazen . Este é o passo mais seguro para executar algo que não é realmente seguro.


Qualquer programa executado dentro de um prefixo de vinho só tem acesso à garrafa virtual nessa pasta de prefixo .wine em sua casa e nada mais. Eles estão fechados dentro dessa garrafa.

Dito isso, também é verdade que um frasco criado padrão também cria links padrão para a pasta pessoal e o sistema de arquivos raiz. É necessário garantir que esses itens sejam excluídos antes da execução do executável. Alguns trojans irritantes examinam os drivers em busca de arquivos executáveis ​​ou de outro tipo específico e tentam infectá-los.

Uma opção melhor é criar um novo frasco e, portanto, isolá-lo do seu frasco normal. Para isso, é necessário executar o arquivo .exe em um prefixo separado, seguindo este exemplo:

export WINEPREFIX=~/wine_possible_trojan
wine winecfg

Neste ponto, procure os pontos montados criados para a garrafa, eles devem estar na guia unidades, remova quaisquer letras que não sejam c:\, que impedirão o cavalo de troia de mexer com qualquer arquivo dentro de sua casa ou no sistema de arquivos raiz:

insira a descrição da imagem aqui

Depois de remover os drivers da garrafa, você pode executar o executável usando a garrafa que você acabou de criar usando algo como

WINEPREFIX=~/wine_possible_trojan wine path_to_exefile.exe

Depois disso, a exclusão ~/wine_possible_trojanexcluirá a garrafa do seu sistema, eliminando as modificações feitas pelo cavalo de Tróia dentro dessa garrafa.

Se você não tiver certeza, também pode instalar um antivírus em seu sistema Linux e executá-lo depois) e talvez antes para ver se ele apanha alguma coisa) excluindo o .wineprefixo. Veja neste post as opções disponíveis:


A outra opção seria, como disse bodhi.zazen , instalar o VirtualBox a partir do Ubuntu Software Center, instalar o Ubuntu ou Windows (se disponível) em um novo sistema virtual no VirtualBox e executar o .exe dentro desse sistema virtual.

Para mais informações sobre o VirtualBox, visite a página da Wikipedia , a página oficial do VirtualBox e dê uma olhada em Como instalar o VirtualBox no AskUbuntu.com.


Posso ver no relatório de verificação AV que você adicionou aos comentários que apenas 1 mecanismo o pegou dentre todos os da lista, eu diria falso positivo.

Bruno Pereira
fonte
como executo isso em um ambiente isolado?
Alex Poulos
A garrafa de vinho é uma espécie de ambiente isolado, exclua ~/.winee esse ambiente se foi. Além disso, faça o que o @ bodhi.zazen diz e execute-o em um sistema de caixa virtual.
Bruno Pereira
quais são alguns aplicativos de caixa virtual que posso baixar e executar no ubuntu?
Alex Poulos
Existe alguma maneira de garantir que não seja infectado se executar isso?
Alex Poulos
Então é quase semelhante a uma caixa de areia então?
Alex Poulos
11

Você precisaria executá-lo em um sistema de teste isolado, como uma VM e investigar o que ele faz.

O que exatamente é isso?

É difícil acreditar que você "precise" executar um .exe infectado.

É possível que você também tenha um falso positivo (dependendo de como você detectou o vírus e de qual investigação, se houver alguma).

Pantera
fonte
É um programa que alguém criou para ajudar a modificar um IOS personalizado para o Wii. virustotal.com/file/...
Alex Poulos