Должен ли я беспокоиться об эксплойте:Java/Obfuscator.F обнаружен антивирусом в TemenosSecurity.jar
Антивирус Защитника Windows 10, а также Сканер безопасности Microsoft обнаружил и изолировал угрозу категории "Эксплойт" с именем "Эксплойт:Java/Obfuscator.F" в файле TemenosSecurity.jar и нескольких других jar-версиях программного обеспечения Temenos T24 TAFJ, которое работает как автономная Java приложение, а также в качестве J2EE в контейнере сервера приложений Java JBoss EAP.
Программное обеспечение предоставляется официальным дистрибьютором, оно не должно содержать вирусов и ему можно доверять. Интернет, однако, говорит много плохого о "Exploit:Java/Obfuscator.F", например:
Эта угроза была "запутана", что означает, что она пыталась скрыть свое предназначение, чтобы ваше программное обеспечение безопасности не обнаружило ее. Вредоносное ПО, скрывающееся под этим запутыванием, может иметь практически любую цель.
Что заставляет Антивирус Защитника Windows обнаруживать эту угрозу? Могут ли злоумышленники использовать эту уязвимость? И какой провайдер программного обеспечения должен был поступить иначе, чтобы антивирус не обнаруживал этот jar-файл?
2 ответа
Вполне возможно, что компания, поставляющая продукт, запутывает свой код только для защиты своего IP-адреса и не замечает того факта, что она запускает антивирусы.
Обфускация кода относится к преобразованию кода таким образом, что его очень трудно анализировать. Вирусы могут использовать его, поэтому антивирусы не могут анализировать свой код, чтобы определить, что они делают что-то плохое. С другой стороны, законное программное обеспечение может использовать его, чтобы не дать другим анализировать и реверсировать его алгоритмы.
Также возможно, что дистрибьютор скомпрометирован и поставляет реальное вредоносное ПО, как упоминается в ответе Лотара.
В любом случае, было бы хорошо сообщить дистрибьютору. Если они законно используют запутывание, они могут захотеть поставить цифровую подпись на своем программном обеспечении и зарегистрировать его у антивирусных провайдеров, чтобы избавиться от предупреждения. Если они по неосторожности распространяют вредоносное ПО, они тоже будут рады узнать. Однако, прежде чем обращаться к ним, возможно, вы захотите посмотреть на ошибку, особенно в отношении программного обеспечения, которое вы пытаетесь использовать. Если вы обнаружите заявление компании о том, что это известная проблема, вам нет нужды связываться с ними, и если вы доверяете компании, использование программного обеспечения более чем безопасно.
Я бы отнесся к информации серьезно и связался бы с дистрибьютором. То, что программное обеспечение исходит из "официального" источника, не означает, что по умолчанию оно не содержит вредоносных программ.
В прошлом было несколько случаев (даже в старые добрые времена [TM], когда вещи были отправлены на гибкие диски), когда поставщики оборудования и программного обеспечения отправляли свои вещи с некоторыми нежелательными вредоносными программами в качестве бонуса. Просто недавний пример - сервис Pear.php.net, который был взломан в течение полугода и поставлял PHP-модули, включая вредоносные программы.
Чтобы ответить на другие ваши вопросы:
Что заставляет Антивирус Защитника Windows обнаруживать эту угрозу?
Он использовал один из своих механизмов обнаружения, чтобы найти его. Есть разные, поэтому трудно сказать здесь [TM]. Чтобы исключить ложную тревогу, нужно зайти в Virustotal и загрузить один из поврежденных файлов. Файл будет проверен на 60 и более антивирусных сканерах, и, если несколько предупреждений выкладываются, вы можете предположить, что файл на самом деле содержит вредоносное ПО.
Могут ли злоумышленники использовать эту уязвимость?
Если это не ложная тревога (и если сообщается, что затронуты несколько банок, это не похоже на один), да, я полагаю.
И какой провайдер программного обеспечения должен был поступить иначе, чтобы антивирус не обнаруживал этот jar-файл?
Не связывать их программное обеспечение с вредоносным ПО было бы началом;-)