Clamav detectando mais de 100 ameaças no Fedora. Falso positivo?

Apos efetuar uma varredura completa com o clamav no Fedora 36 kde, o mesmo detectou uma quantidade absurda de ameaças nos diretórios do chrome e do firefox, por segurança decidi formatar o note.

Com a maquina reformatada passei o clamscan novamente. No primeiro dia nada de vírus, no segundo estavam la novamente e em maior quantidade.

De outra partição com o linux mint, passei outro clamscan tanto no mint com as mesmas aplicações instaladas como nas partições do fedora, e novamente ele encontrou as ameaças no fedora mas no mint não, me dando a entender que não se tratava de um falso positivo já que não encontrou nada nos diretórios dos navegadores do mint.

Decidi então compactar em zip todas as ameaças encontradas e enviar para o site do vírus total que por sua vez não identificou qualquer ameaça.

Minha duvida, seria este um falso positivo que só aparece no fedora?
Posso confiar no vírus total e adicionar estes falsos positivos a lista branca do clamav?

4 curtidas

Olá @Rediss, tudo bem contigo?

Se possível, compartilhe o log do escaneamento com a gente (apenas cuidado com possíveis informações sensíveis) - existe uma grande chance de serem falsos positivos.

:vulcan_salute:

6 curtidas

Pelo seu relato há uma enorme chance de ser falsos positivos. Se possível conforme orientado poste aqui os logs dessas detecções.

4 curtidas

Por exemplo:

/home/andre/.mozilla/firefox/lddkw54o.default-release/features/{67b53605-142e-46b9-9902-4817f514d24c}/[email protected]: Sanesecurity.Foxhole.Zip_fn77.UNOFFICIAL FOUND

/home/andre/.cache/google-chrome/Default/Cache/Cache_Data/a1217250ae0a99d2_0: sigs.InterServer.net.HEX.Topline.malware.redirect.ecpms.net.718.UNOFFICIAL FOUND

E por ai vai, são os mesmos alertas em arquivos diferentes, a maioria no cache e outros em addons do firefox pelo que entendi.

Anteriormente apareciam alertas na pasta .config também que agora não alertam mais, sendo que não coloquei nada na lista branca ou deletei. Outro detalhe é que não usei o firefox desde a formatação, o chrome usei muito pouco, acessei praticamente só o youtube e a binance desde a formatção.

Testei em outros av e nada de alerta, somente no clamav.

Mas vou tratar como falo positivo mesmo já que nenhum outro av identificou como vírus. No caso do chrome foi só limpar os cookies que os alertas terminaram, no caso do firefox tenho certeza de falso positivo pois a unica extensão instalada é a própria do plasma.

Obrigado pela atenção.

Depende dos arquivos, como foi em pasta de Navegadores talvez sejam adwares e/ou mineradores que rodam quando vc abre uma determinada página e/ou ficam enviando notificações em stand by

Mas olhando isso parece ser efeito de uma heurística (desconfiometro) agressivo do ClamAv, passa com um nível mais baixo pra ver se continua