Windows 10 Defender Antivirus 和 Microsoft Safety Scanner 检测并隔离了 TemenosSecurity.jar 文件中名为“Exploit:Java/Obfuscator.F”的类别“Exploit”威胁以及作为独立 Java 运行的 Temenos T24 TAFJ 软件的其他几个 jar app 以及 JBoss EAP Java 应用服务器容器中的 J2EE。
该软件由官方发行商提供,它应该是无病毒的并且是可以信任的。然而,互联网上说了很多关于“Exploit:Java/Obfuscator.F”的坏话,比如:
此威胁已被“混淆”,这意味着它试图隐藏其目的,因此您的安全软件无法检测到它。隐藏在这种混淆之下的恶意软件几乎可以用于任何目的。
是什么导致 Windows Defender 防病毒软件检测到此威胁?攻击者可以利用此漏洞吗?什么软件提供商应该采取不同的措施来避免这个 jar 被 Antivirus 检测到?
运送该产品的公司可能只是为了保护他们的 IP 而混淆了他们的代码,并且没有注意到它正在引发反病毒软件的事实。
代码混淆是指以一种非常难以分析的方式转换代码。病毒可能会使用它,因此防病毒软件无法分析他们的代码以确定他们做错了什么。另一方面,合法软件可能会使用它来防止其他人对其算法进行分析和逆向工程。
分销商也有可能遭到入侵,并且正在运送实际的恶意软件,就像 Lothar 的回答中提到的那样。
无论哪种方式,最好让经销商知道。如果他们合法地使用混淆,他们可能希望对他们的软件进行数字签名,并向防病毒提供商注册以消除警告。如果他们无意中传播了恶意软件,他们也会很高兴知道。但是,在联系他们之前,您可能需要专门查找与您尝试使用的软件相关的错误。如果您发现该公司声明这是一个已知问题,则无需联系他们,并且如果您信任该公司,则使用该软件很可能是安全的。
我会认真对待这些信息并与经销商联系。仅仅因为该软件来自“官方”来源,并不意味着它默认没有恶意软件。
过去有几个例子(即使在过去的美好时光[TM] 中,东西都是通过软盘运送的),硬件和软件供应商在运送他们的东西时会附带一些不需要的恶意软件作为奖励。最近的一个例子是Pear.php.net 服务被攻陷了半年,提供包括恶意软件在内的 PHP 模块。
要回答您的其他问题:
是什么导致 Windows Defender 防病毒软件检测到此威胁?
它使用它的一种检测机制来找到它。有不同的,所以从Here[TM]很难说。排除误报的一种方法是转到Virustotal并上传一个有问题的文件。该文件将针对 60 种或更多病毒扫描程序进行测试,如果不止几个发出警告,您可以假设该文件实际上包含恶意软件。
攻击者可以利用此漏洞吗?
如果这不是误报(并且如果报告有多个罐子受到影响,那听起来不像一个),是的,我想。
什么软件提供商应该采取不同的措施来避免这个 jar 被 Antivirus 检测到?
不将他们的软件与恶意软件捆绑在一起将是一个开始;-)