Un archivo exe que quiero ejecutar en Linux hecho para Windows aparece como un troyano en VirusTotal: ¿cómo lo ejecutaría sin que afecte a mi sistema?

8

¿Hay alguna manera de que pueda ejecutar este programa en mi sistema Linux sin posiblemente tener un virus?

Alex Poulos
fuente
Tendrías que decirnos qué virus. Potencialmente, podría ejecutarse en wine, en cuyo caso podría "infectar" cualquier archivo al que su usuario tenga acceso de rw (casi todo en / home / your_user). Si no lo ejecuta (o wine) como root, es poco probable que afecte a los archivos del sistema.
Panther
¿Puede decirnos exactamente qué programa está intentando ejecutar y de dónde lo obtuvo? Como dijo bodhi.zaen, simplemente podrías tener un falso positivo, aunque es difícil saberlo a menos que sepamos exactamente lo que tienes.
Christopher Kyle Horton el
Esto es lo que estoy tratando de ejecutar: virustotal.com/file/… es un modificador para un IOS personalizado para la wii - el tipo ha insistido en que no es un virus, pero los escáneres de virus 3/42 dijeron que es un troyano
Alex Poulos
3
Gran pregunta! :)
Bruno Pereira
1
@AlexPoulos Para eso, todo lo que puedo decir es que no puedes estar seguro sin probarlo. Esto es cierto independientemente de cualquier archivo aleatorio o pieza de software que se obtenga de Internet que no sea directamente de una organización acreditada. Puede leer y compilar el código fuente usted mismo si se proporciona, o configurar una máquina de prueba con Wine instalado y ver cuáles son los efectos. Pero como dije antes, no creo que deba ser un problema esta vez, aunque ese juicio se basa en la probabilidad.
Christopher Kyle Horton el

Respuestas:

8

Tenga en cuenta por favor que incluso dura este va a trabajar probablemente muy bien, corriendo un virus dentro de cualquier sistema vivo nunca es una buena idea, incluso si está seguro de que puede volver / eliminar los efectos del virus. Para un enfoque más seguro, se recomienda la respuesta de bodhi.zazen . Estos son los pasos más seguros para ejecutar algo que no es realmente seguro.


Cualquier programa que se ejecute dentro de un prefijo de vino solo tiene acceso a la botella virtual en esa carpeta de prefijo .wine en su hogar y nada más. Están cerrados dentro de esa botella.

Dicho esto, también es cierto que una botella creada por defecto también crea enlaces estándar en su carpeta de inicio y sistema de archivos raíz, debe asegurarse de que se eliminen antes de ejecutar el ejecutable. Algunos troyanos molestos escanearán los controladores en busca de archivos ejecutables u otro tipo específico de archivo e intentarán infectarlos.

Una mejor opción es crear una nueva botella y así aislarla de su botella normal, para eso necesita ejecutar el archivo .exe en un prefijo separado, haga esto siguiendo este ejemplo:

export WINEPREFIX=~/wine_possible_trojan
wine winecfg

En este punto, busque los puntos montados creados para la botella, deben estar en la pestaña de unidades, elimine las letras que no lo estén c:\, lo que evitará que el troyano juegue con los archivos dentro de su hogar o el sistema de archivos raíz:

ingrese la descripción de la imagen aquí

Después de eliminar los controladores de la botella, puede ejecutar el ejecutable usando la botella que acaba de crear con algo como

WINEPREFIX=~/wine_possible_trojan wine path_to_exefile.exe

Después de eso ~/wine_possible_trojan, eliminará la botella de su sistema, eliminando las modificaciones realizadas por el troyano dentro de esa botella.

Si no está seguro, también puede instalar un antivirus en su sistema Linux y ejecutarlo después (y tal vez antes para ver si detecta algo) eliminando el .wineprefijo. Echa un vistazo a esta publicación para ver las opciones disponibles:


La otra opción sería, como dijo bodhi.zazen , instalar VirtualBox desde el Centro de software de Ubuntu, instalar Ubuntu o Windows (si está disponible) en un nuevo sistema virtual en VirtualBox y ejecutar el .exe dentro de ese sistema virtual.

Para obtener más información sobre VirtualBox, visite la página de Wikipedia , la página oficial de VirtualBox y eche un vistazo a Cómo instalar VirtualBox en AskUbuntu.com.


Puedo ver en el informe de escaneo AV que agregó a los comentarios que solo 1 motor lo recogió de todos los de la lista, diría que es falso positivo.

Bruno Pereira
fuente
¿Cómo ejecuto esto en un entorno aislado?
Alex Poulos
La botella de vino es una especie de entorno aislado, se elimina ~/.winey ese entorno desaparece. Aparte de eso, haz lo que @ bodhi.zazen te dice y ejecútalo en un sistema virtualbox.
Bruno Pereira
¿Cuáles son algunas aplicaciones de virtualbox que puedo descargar y ejecutar para ubuntu?
Alex Poulos
¿Hay alguna manera segura de que pueda asegurarme de que no me infectaré si ejecuto esto?
Alex Poulos
Entonces, ¿es casi similar a un sandbox?
Alex Poulos
11

Debería ejecutarlo en un sistema de prueba aislado, como una VM e investigar lo que hace.

¿Qué es exactamente?

Es difícil creer que "necesita" ejecutar un archivo ejecutable infectado.

Es posible que también tenga un falso positivo (dependiendo de cómo detectó el virus y de qué investigación ha realizado, si la hubiera).

Pantera
fuente
Es un programa que alguien hizo para ayudar a modificar un IOS personalizado para Wii. virustotal.com/file/…
Alex Poulos