Стоит ли беспокоиться об эксплойте: Java / Obfuscator.F обнаружен антивирусом в TemenosSecurity.jar

Question

Антивирус Защитника Windows 10, а также Сканер безопасности Microsoft обнаружил и изолировал угрозу категории «Эксплойт» под названием «Эксплойт: Java / Obfuscator.F» в файле TemenosSecurity.jar и нескольких других банках программного обеспечения Temenos T24 TAFJ, которое работает какавтономное приложение Java, а также J2EE в контейнере сервера приложений Java JBoss EAP.

Программное обеспечение предоставляется официальным дистрибьютором, оно не должно содержать вирусов и заслуживает доверия.Интернет, однако, говорит много плохих слов о «Эксплойте: Java / Obfuscator.F», таких как:

Эта угроза была «запутана», что означает, что она пыталась скрыть свою цель, чтобы ваше программное обеспечение безопасности нене обнаружить это.Вредоносное ПО, скрывающееся под этим запутыванием, может иметь практически любую цель.

Что заставляет Антивирус Защитника Windows обнаруживать эту угрозу?Могут ли злоумышленники использовать эту уязвимость?А какой провайдер программного обеспечения должен был поступить иначе, чтобы антивирус не обнаруживал этот jar-файл?

Answer 1

Возможно, что компания, поставляющая продукт, запутывает свой код просто для защиты своего IP-адреса и не замечает того факта, что она запускает антивирусы.

Обфускация кода относится к преобразованию кода таким образом, чтоэто очень сложно анализировать.Вирусы могут использовать его, поэтому антивирусы не могут анализировать свой код, чтобы определить, что они делают что-то плохое.С другой стороны, законное программное обеспечение может использовать его для предотвращения анализа и реинжиниринга других алгоритмов другими людьми.

Также возможно, что распространитель скомпрометирован и поставляет реальное вредоносное ПО, как упоминает ответ Лотара.

В любом случае, было бы хорошо сообщить дистрибьютору.Если они законно используют запутывание, они могут захотеть поставить цифровую подпись на своем программном обеспечении и зарегистрировать его у антивирусных провайдеров, чтобы избавиться от предупреждения.Если они по неосторожности распространяют вредоносное ПО, они тоже будут рады узнать.Однако, прежде чем обращаться к ним, возможно, вы захотите посмотреть на ошибку, особенно в отношении программного обеспечения, которое вы пытаетесь использовать.Если вы обнаружите заявление компании о том, что это известная проблема, вам нет нужды связываться с ними, и если вы доверяете компании, использование программного обеспечения более чем безопасно.

Answer 2

Я бы отнесся к информации серьезно и связался бы с дистрибьютором.То, что программное обеспечение происходит из «официального» источника, не означает, что по умолчанию оно не содержит вредоносных программ.

В прошлом было несколько случаев (даже в старые добрые времена [TM], гдематериал был отправлен на дискеты), где поставщики оборудования и программного обеспечения отправляли свои вещи с некоторыми нежелательными вредоносными программами в качестве бонуса.Просто недавний пример - сервис Pear.php.net , который был взломан в течение полугода и поставлял PHP-модули, включая вредоносные программы.

Чтобы ответить на другие ваши вопросы:

Что заставляет антивирус Windows Defender обнаруживать эту угрозу?

Он использовал один из своих механизмов обнаружения, чтобы найти его.Есть разные, поэтому трудно сказать здесь [TM].Чтобы исключить ложную тревогу, перейдите на Virustotal и загрузите один из поврежденных файлов.Файл будет проверен на 60 и более антивирусных сканерах, и, если несколько предупреждений выкладываются, можно предположить, что файл действительно содержит вредоносное ПО.

Могут ли злоумышленники использовать эту уязвимость?

Если это не ложная тревога (и если сообщается, что затронуто несколько банок, это не походит на один), да, я полагаю.

И какой поставщик программного обеспечения должен иметьсделано иначе, чтобы этот jar не был обнаружен антивирусом?

Не стоит связывать их программное обеспечение с вредоносным ПО; -)