Het is allemaal zeer kwaadaardig
Nee, pua staat voor Potentially Unwanted Applications en niet voor kwaadaardige software. Het gaat om software met kenmerken die in potentie misbruikt kunnen worden. Het kan ook
gewenste software uit legitieme bron zijn.
die pua.phishing heb ik verwijderd, maar wat te doen met pua.js.xored, pua.script.packed-1, pua.script.packed-2?
Een bestand wat is aangemerkt als pua kan je beter
niet (zomaar) wissen omdat er waarschijnlijk niets aan de hand is en je het bestand misschien wel wil behouden.
Bijvoorbeeld: pdf-bestanden met een
e-ticket kunnen als pua worden aangemerkt. De inhoud wordt dan niet normaal leesbaar opgeslagen (Heuristic.Encrypted.PDF). Niets aan de hand, met een pdf-reader kan je de bestanden gewoon lezen en afdrukken. LibreOffice kan deze pdf bestanden niet lezen, normaal gesproken ook geen probleem want aan een e-ticket wil/mag je niets veranderen.
Dat ClamAV dit aanmerkt als pua zal zijn (ik ben geen expert, het is een aanname) omdat malware zich op een zelfde manier kan proberen te verstoppen. Maar van malware is helemaal (zeeer waarschijnlijk) geen sprake van als je de e-tickets op legitieme manier hebt verkregen. Tenzij het verouderde e-tickets zijn wil je deze zeker
niet wissen.
Meldingen over "packed" zeggen zo ook niets. Veel legitieme software (vooral voor Windows) comprimeren ("packed") software om ruimte te besparen. Mogelijk wil je deze software helemaal niet wissen of is het zelfs gekochte software. Deze software wordt als pua aangemerkt omdat malware ook vaak software “packed” om patroonherkenning door anti-virussoftware te bemoeilijken (
faq-pua).
Over de melding pua.phishing.bank is volgens mij zo niets zinnigs te zeggen. Mogelijk is het afkomstig van je eigen bank of andere financiële instelling. Deze zal om een inlogcode vragen, heel normaal eigenlijk. Het wordt pas “potentieel ongewenst” als een andere (malafide) site om bankcodes vraagt maar dat blijkt nu nergens uit.
Los van de adviezen van andere forumleden geen anti-virussoftware te gebruiken raad zelfs de website van clamav het
AF om zomaar op pua te scannnen.
At this point we DON’T recommend using it in production environments, because the detection may be too agressive and lead to false positives.
Bron:
http://www.clamav.net/index.php?s=pua