Il 21/09/25 18:19, Ceppo ha scritto:
On Sun, Sep 21, 2025 at 05:24:48PM +0200, pinguino wrote:
Oggi ho fatto delle scansioni su tutte le cartelle del mio Computer,
con ClamAv sia da terminale con clamscan che in forma grafica con ClamTk.
Ho riscontrato una strana anomalia.
Nel senso che ci sono delle differenze tra le due scansioni, sugli
stessi files.
Ipotesi banale, ma hai aggiornato il database prima di fare le
scansioni? Potrebbe essere che stai usando un database più vecchio della
versione di LibreOffice installata, quindi che non esclude dei falsi
positivi.
Con il database aggiornato a me le due interfacce danno lo stesso
risultato (nessun file infetto), però sono su sid.
Buon giorno Lista,
Si, ho seguito freshclam. Il database è aggiornato.
Oggi è cosi :
Mon Sep 22 12:01:07 2025 -> ClamAV update process started at Mon Sep 22
12:01:07 2025
Mon Sep 22 12:01:07 2025 -> daily.cld database is up-to-date (version:
27770, sigs: 2076849, f-level: 90, builder: raynman)
Mon Sep 22 12:01:07 2025 -> main.cvd database is up-to-date (version:
62, sigs: 6647427, f-level: 90, builder: sigmgr)
Mon Sep 22 12:01:07 2025 -> bytecode.cld database is up-to-date
(version: 339, sigs: 80, f-level: 90, builder: nrandolp)
I: Unattended-Upgrade options found:
Ma anche ieri lo avevo eseguito.
Ho fatto un piccolo script, che esegue due comandi :
freshclam
upgrade-system
Ora ogni giorno prima di fare l'aggiornamento del sistema aggiorna anche
il database di Clamav.
La minaccia in particolare è PUA.Doc.Tool.LibreOfficeMacro-2
[...]
2) Forse sono dei falsi positivi ?
Penso proprio di sì, se provengono tutti dal pacchetto di Debian. Dal
nome della minaccia sospetto che abbia a che fare con le macro, che
possono essere usate per realizzare degli attacchi ma ovviamente non
sono "cattive" di per sé.
Penso che sia sulle macro.
Resta strano il fatto che da due risultati differenti.
Grazie
Saluti
Claudio
--
https://www.linkedin.com/in/claudio-sandrone
