Entrei no fórum da Comodo em inglês questionando o abandono do Comodo Antivírus Linux ( CAVL ) e obtive a resposta de que estão trabalhando em novas versões do CAVL e da suíte CIS ( Comodo Internet Security ) com firewall, antivírus, HIPS ( Host Intrusion Prevention System ), DNS, proteção por comportamento etc que serão gratuitas para usuários domésticos.
E quem diria … mês passado alguém foi atacado por trojan banker via java script baixado pelo navegador para seu cache em simples navegação por algum site contaminado:
O Kaspersky Rescue Disk ( KRD ) o detectou ao escanear no boot. Isso aconteceu no Windows mas poderia muito bem ter acontecido no ambiente Linux pois o ataque foi via navegador ( JS java script ).
Enquanto a COMODO não disponibiliza a nova versão tento me virar com a versão descontinuada ( CAVL ) sem o real time protection no meu Body Linux e usando o KRD no boot uma vez a cada semana pra ver se encontra algo principalmente no cache.
Manter o navegador e o sistema operacional atualizados, bem como não fornecer a senha de root para coisas estranhas e não instalar programas de fontes não confiáveis, é muito mais eficiente do que usar um antivírus descontinuado. Minha única política de segurança que vai além das coisas que eu citei é usar um firewall.
Já que você faz questão de usar um antivírus no Linux, por que ao menos não usa um que ainda é suportado? A galera costuma falar do ClamAV da Cisco, que é gratuito e de código aberto.
O CAVL ( COMODO Antivirus for Linux ) foi descontinuado mas suas assinaturas de vírus continuam sendo atualizadas e é muito melhor que esse ClamAV podendo ser configurado de modo gráfico facilmente com relatório completo sobre as detecções e escaneamentos além de fazer upload de arquivos desconhecidos para a COMODO para serem testados em laboratórios.
Só falta ao CAVL escanear os arquivos do cache e ter a proteção em tempo real ativa que seria só questão de alguém de programação se interessar e editar o patch do KINTA-JAPAN do fórum da COMODO ( já deixei os links de download em outro tópico mas ninguém se interessou ).
Não sei se o CAVL escaneia também a memória quando sua proteção em tempo real está ativa pois esse tipo de ataque por java script em navegador pode se dar no momento em que se acessa um site contaminado como o de um banco financeiro por exemplo. Talvez o objeto malicioso seja baixado para a memória e executado pelo navegador que possa capturar logins e senhas em tempo real e só depois ser enviado para o cache. Esse tipo de ataque não deve necessitar de acesso root.
Pensei até em usar um antivírus russo chamado Dr Web que tem versão PAGA para usuário doméstico Linux mas é bem caro ( em torno de R$150,00 a licença por um ano e por máquina ) e não sei quais suas limitações. Acredito que é um ataque que pode ocorrer a qualquer momento que se acessam páginas de login ou de banco e um antivírus poderia ajudar, inclusive com sua heurística, na detecção e bloqueio.
Sem antivírus o usuário Linux fica muito desprotegido contra pragas diversas da internet como contra ransomwares também. Só posso contar com a ajuda do plugin de segurança bancário que não sei se seria capaz de detectar uma ameaça desse tipo. Os próprios bancos pedem para que se use antivírus como uma camada a mais de proteção.
Esse tipo de ataque que você citou parece ser feito através de uma brecha de segurança gravíssima do navegador. Acho que os antivírus não são capazes de lidar com ataques desse tipo, porque não são causados por malware.
É bom lembrar também que os navegadores têm proteção contra links maliciosos, então provavelmente confiar no navegador que você usa e sempre atualizá-lo é o melhor a ser feito nesse caso em específico. Medidas adicionais de seguraça podem ser tomadas, como por exemplo usar autenticação de dois fatores, coisa que eu estou passando a fazer em todos os cadastros que eu tenho.
Eu reconheço o valor de se usar antivírus no Linux, considerando que a pessoa é cuidadosa com o que ela instala, no caso de haver um dual boot com o Windows.
Se acessar o link que postei do caso em outro fórum verá que o Kaspersky detectou o arquivo/objeto java script como trojan banker.
Então os antivírus estão detectando esses eventos como ataques pois consideram os objetos como malwares.
Detalhe para o fato de que o trojan que o rapaz pegou ficava instalando um app do Bradesco insistentemente, coisa que no Linux só seria possível se a senha de root fosse fornecida ao trojan.
Lembrando que apareceu um objeto trojan banker em java script no cache do navegador no Windows do usuário e que o mesmo pode não ter relação com o aplicativo do banco instalado na máquina e isso pode acontecer no Linux.
Uso a extensão uBlock Origin no Firefox já para evitar muita porcaria e o plugin de segurança bancário obrigatório que já encrencou com essa extensão tendo que desativar ela ao acessar o banco.
Como já mencionei antes aqui no fórum, tenho escaneado o sistema ao final de cada uso do PC no dia com o COMODO Antivírus Linux ( CAVL ) e com o Kaspersky Rescue Disk ( KRD ) no boot a cada duas semanas limpando o cache dos navegadores em seguida.
Sei que o KRD consegue debulhar os caches de navegação o que o CAVL não o faz e o primeiro é bem melhor em detecção. Nem falsos positivos e nem adwares ou PUPs têm aparecido e nada encontrado no sistema faz tempo. É que pode ocorrer também infecção silenciosa que fica adormecida e que só com o tempo passa a ser detectada graças ás atualizações da base de assinaturas como já aconteceu com o Mint devido a repositório contaminado.
Esses ataques ao internet banking costumam ser automatizados e muito rápidos pois as senhas de tokens expiram rapidamente e quando bem sucedidos o desfalque financeiro costuma ser elevado.
Tem também o furto de logins de redes sociais com os quais os crackers fazem uso de engenharia social para enganar os amigos vinculados tentando furtos se fazendo passar pela vítima e costuma ser difícil recuperar o login além de se aproveitarem de senhas mestras.
O estrago quando acontece nesses ataques e quando bem sucedidos costuma ser grande.