Comments 121
Точно ~/WIFIADAPT, а не ~/.WIFIADAPT?
Т.е.
%home% вместо $HOME или ~ вас не смущает?
это чтоб всем людям с противоположной стороны сразу понятно стало :)
Конечно, это ведь для них написано, чтобы они могли сказать «а вот в ваших линуксах тоже трояны».
Да нет… это ляпа такая на страничке «описания» вируса под линукс… мдя.
Да я как бы в курсе. Вся соль именно в том, что всё это (и не в первый раз) пишется именно для «людей с противоположной стороны». Ну и для слабых духом свежелинуксоидов, должен же кто-то ДрВебФорЛинукс покупать. Ну и мне заодно читать приходится (на работе Энтерпрайз Сервер, решил, раз уж так вышло, на авторские новости подписаться).
Да всё нормально. Видно что «людям с противоположной стороны» постепенно, как минимум пользуются продуктами со «светлой стороны»))
Его тоже надо самостоятельно компилировать и устанавливать?
А правда, что софт написанный на одной машине без перекомпиляции не работает на другой? И правда, что без специальный процедуры «установки» у меня в ~ ни один исполняемый файл работать не будет?
У меня в /home вообще ни один работать не будет, оно с noexec смонтировано.
Это не повод говорить что не будет работать нигде. И что насчет первого вопроса?
Ну, вообще говоря в линуксе переносимость ограничена. Можно, конечно, действовать по принципу «всё своё ношу с собой» и незаметно выкачивать из интернета 100 метров библиотек, но обычно бинарная совместимость даже между двумя смежными релизами убунты никем не гарантируется, нужная библиотека легко может взять и поменять soname.
Ограничена, но не невозможна. 80е прерывание, статическая линковка и имеем переносимый код.
Вы себе хорошо представляете размер получившегося исполняемого файла? При проникновении через уязвимость в браузере он сильно рискует банально не докачаться.
Все зависит от того, что именно нужно. Файловые операции не нуждаются ни в чем, кроме 80го прерывания, к примеру.
Я не пойму, мы сейчас говорим о кейлоггере, которому надо пинать иксы и использовать libssl для шифрования своего траффика (как указано в новости вашего работодателя), или о сферическом коне в вакууме?
Для начала о сферическом коне в вакууме. Раз на данный момент выяснили, что не обязательно что-то пересобирать и «устанавливать» можно двигаться дальше.
SSL для AES ну вот ни разу не нужна. Остается перехват клавиатуры, но с этим я никогда в никсах не работал.
SSL для AES ну вот ни разу не нужна. Остается перехват клавиатуры, но с этим я никогда в никсах не работал.
Так можно через браузер микроядро залить, а оно уже потом утянет всё что надо спокойненько.
kekekeks вот от тебя не ждал =/
ЗАЧЕМ писать бинарные вирусы для *nix?! Есть же Perl/Python/Bash!
Чтобы не засорять длинными комментариями, дам ссылку на свой последний пост про малварь для *nix stproject.info/blog/?p=2019
ЗАЧЕМ писать бинарные вирусы для *nix?! Есть же Perl/Python/Bash!
Чтобы не засорять длинными комментариями, дам ссылку на свой последний пост про малварь для *nix stproject.info/blog/?p=2019
Вообще я не совсем понял как запрет на выполнение работает у линукса? Например если у меня есть скриптовый файл, к слову foo.sh скрипт, то его нельзя запустить как ./foo.sh если у файла нет прав на выполнение, но зато можно запустить как sh foo.sh. В чём тогда смысл?
Нельзя запускать никакие бинарники и мапить в память soшки, например. При желании можно попробовать поконфигуряять AppArmor так, чтобы он не давал шеллам загружать оттуда скрипты.
в винде например, при резпрвировпнии блока виртуальной памяти можно было не указать флаг разрешенич на выполнение
msdn.microsoft.com/en-us/library/windows/desktop/aa366887(v=vs.85).aspx
msdn.microsoft.com/en-us/library/windows/desktop/aa366786(v=vs.85).aspx
тогда, типа того что, данные в этом блоке нельзябыло пустить на непосредственное выполнение. В Линуксе тоже как-то так?
msdn.microsoft.com/en-us/library/windows/desktop/aa366887(v=vs.85).aspx
msdn.microsoft.com/en-us/library/windows/desktop/aa366786(v=vs.85).aspx
тогда, типа того что, данные в этом блоке нельзябыло пустить на непосредственное выполнение. В Линуксе тоже как-то так?
Можно нубовопрос?
Судя по всему вы к программированию имеете отношение — дык вот свои-то поделки надо как-то запускать. На другом разделе держите?
Судя по всему вы к программированию имеете отношение — дык вот свои-то поделки надо как-то запускать. На другом разделе держите?
На ЛОРе уже посмеялись.
Обсуждения на лоре
1. Обнаружен первый троянец для Linux, похищающий пароли
2. Нам трояна написали! Айда пробовать!
1. Обнаружен первый троянец для Linux, похищающий пароли
2. Нам трояна написали! Айда пробовать!
Спасибо.
Особенно доставил комментарий:
Особенно доставил комментарий:
На официальном сайте производителя (др.веб) вируса не нашел. Кто его вообще видел кроме создателей? Где взять?
А ссылки на скачивание там есть?
«Где можно взять исходники и принимают ли в апстрим патчи?» хехе
Спасибо, давно так не смеялся. Особенно порадовала ссылка на Албанский вирус
Пиар Dr.Web
из оригинала на сайте:
> Механизм распространения этого троянца еще выясняется.
В таких защищенных системах, как Linux и MacOS, это как раз самое интересное. Это естественно, что если у меня (был) например рут, так я любой кейлоггер забабахаю.
Если оно умеет через какую-нить дыру повышать свои привилегии, тогда да — это новость.
А так очередная кроссплатформенная штучка…
PS. Некоторые антивирусные компании взяли моду обзывать вирусом (червем, и т.д.) всякую дрянь, даже которую для линукса из под рута ставить или поди еще и самому компилировать нужно… маркетинг — такой маркетинг.
> Механизм распространения этого троянца еще выясняется.
В таких защищенных системах, как Linux и MacOS, это как раз самое интересное. Это естественно, что если у меня (был) например рут, так я любой кейлоггер забабахаю.
Если оно умеет через какую-нить дыру повышать свои привилегии, тогда да — это новость.
А так очередная кроссплатформенная штучка…
PS. Некоторые антивирусные компании взяли моду обзывать вирусом (червем, и т.д.) всякую дрянь, даже которую для линукса из под рута ставить или поди еще и самому компилировать нужно… маркетинг — такой маркетинг.
ждем ебилдов (ц)
По крайней мере, в драйвере nvidia только недавно пофиксили очень удобную уязвимость, что уже наводит на нехорошие мысли…
Судя по тому, что в ~ ставится, особо рутовые права могут быть и не нужны.
А в windows конечно же есть куча дыр на повышение привилегий. Мы сейчас не рассматриваем вариант, когда UAC отключен или пользователь всегда отвечает «да» на запрос запуска под админом от только что скаченного кейгена.
Погуглите на эту тему… Во времена Vista, видел скрипт запускающий прогу от админа в обход UAC.
Т.е. запускаешь скрипт и винда ни слова не говоря, запускает нужную прогу с правами админа…
Так же видел doc файл, в котором набрано несколько строк кракозябр… так вот если в проводнике провести над этим файлом курсором мышки или просто выделить его клавой, то експлорер крешился. Это был концепт уязвимости позволяющей запустить что-то в системе с минимальным задействованием пользователя…
Так что не удивлюсь если для повышения привилегий ничего экстраординарного не потребуется…
Т.е. запускаешь скрипт и винда ни слова не говоря, запускает нужную прогу с правами админа…
Так же видел doc файл, в котором набрано несколько строк кракозябр… так вот если в проводнике провести над этим файлом курсором мышки или просто выделить его клавой, то експлорер крешился. Это был концепт уязвимости позволяющей запустить что-то в системе с минимальным задействованием пользователя…
Так что не удивлюсь если для повышения привилегий ничего экстраординарного не потребуется…
Ну и что КЭП? Думаете никто не знал, что в операционках есть эксплоиты повышения
ответил чуть ниже...
Еще из оригинала на сайте
угроза не представляет серьезной опасности для пользователей Антивируса Dr.Web для Mac OS X и Антивируса Dr.Web для Linux.
А автор «трояна» — самоубийца однако: IP принадлежит какому-то дид-серверу на leaseweb в нидерландах. Кстати пингуется…
inetnum: 212.7.192.0 — 212.7.223.255
netname: PL-DEDISERV-20100812
descr: Dediserv Dedicated Servers Sp. z o.o.
country: NL
inetnum: 212.7.192.0 — 212.7.223.255
netname: PL-DEDISERV-20100812
descr: Dediserv Dedicated Servers Sp. z o.o.
country: NL
Можно уверенно говорить, что под линукс вирусов нет до тех пор, пока появление каждой вредоносной программы под линукс будет поводом для написания новостей на всех как-то связанных с IT ресурсах.
Под Linux вирусов ПОКА нет, в силу того что пользователи ОС чаще всего квалифицированные люди.
Как минимум глупо отрицать, что как только аудитория этой операционной системы наполнится «домохозяйками», то и на этом поле будет работать вредоносное ПО спекулирующее на недалекости пользователей.
Как минимум глупо отрицать, что как только аудитория этой операционной системы наполнится «домохозяйками», то и на этом поле будет работать вредоносное ПО спекулирующее на недалекости пользователей.
Демимурыч, так вот где ты теперь после drupal.ru
Я рассуждал не о причинах явления, а о его признаках.
Домохозяйке можно легко объяснить, что программы, скажем, в Ubuntu, ставятся только с помощью центра приложений/sudo apt-get install, а все остальное — вирусы и пароль давать им не надо.
Далеко не для всего вредоносного ПО нужны рутовые права.
Почитайте например о эпидемии связанной с вирусом ILOVEYOU
реализация подобного механизма распространения в Linux сейчас не требует больших знаний в программировании, и тем более не требует рутовых прав для работы.
Почитайте например о эпидемии связанной с вирусом ILOVEYOU
реализация подобного механизма распространения в Linux сейчас не требует больших знаний в программировании, и тем более не требует рутовых прав для работы.
Можно подробнее, что вы имеете ввиду?
Насколько я знаю, по умолчанию в /home файл становится исполняемым только после того, как юзер явно это указал. А если монтировать /home с noexec, то вообще бояться нечего. Или я что-то упускаю?
Насколько я знаю, по умолчанию в /home файл становится исполняемым только после того, как юзер явно это указал. А если монтировать /home с noexec, то вообще бояться нечего. Или я что-то упускаю?
Вероятно имелось ввиду, что запроса пароля домохозяйки бояться не будут, а home даже если и делается на отдельном разделе, то обычно без noexec по умолчанию.
Если в каком-то софте исполняющегося от пользователя, типа браузера, просмотрщика pdf или офиса, найдётся уязвимость позволяющая получить злокоду доступ к ~, то +x этот код в общем случае сможет поставить, как и организовать автозапуск при логине.
Тут-то и проявляется одно из главных достоинств Linux — автоматическое обновление софта, а значит, и закрытие уязвимостей. Конечно, всегда можно опоздать — снова вспомним уязвимость в блобе nvidia, которую фиксили несколько месяцев, — но по сравнению с Windows, где «сам не обновишь — никто не обновит», — плюс все же огромный.
> снова вспомним уязвимость в блобе nvidia, которую фиксили несколько месяцев
Или вот уязвимости в Adobe Reader, которые ещё не известно, пофиксят или нет: j00ru.vexillium.org/?p=1175
Или вот уязвимости в Adobe Reader, которые ещё не известно, пофиксят или нет: j00ru.vexillium.org/?p=1175
Пользователи работают используя DE (КДЕ Гном etc).
Современные ДЕ используют очень много разных, как специфических для ДЕ так общераспространенных скриптовых языков позволяющих управлять этим ДЕ.
И этим скриптам не нужны права на исполнение. За интерпретацию и выполнение отвечает само ДЕ.
Линукс пользователь использующий в работе ДЕ защищен ровно столько же сколько и пользователь windows. Безусловно я говорю сейчас исключительно о атаках спекулирующих на слабой квалификации пользователя.
Современные ДЕ используют очень много разных, как специфических для ДЕ так общераспространенных скриптовых языков позволяющих управлять этим ДЕ.
И этим скриптам не нужны права на исполнение. За интерпретацию и выполнение отвечает само ДЕ.
Линукс пользователь использующий в работе ДЕ защищен ровно столько же сколько и пользователь windows. Безусловно я говорю сейчас исключительно о атаках спекулирующих на слабой квалификации пользователя.
Все равно остается /tmp
Главное объяснить хозяйке, что в Ubuntu приложения ставятся через sudo apt-get install. После этого с вирусами как-то по любому попроще будет, да
Скорее зависит о распространенности в целом, а не от средней квалификации пользователей.
Вы забываете о возможности проникновения через баги в браузерах. Тут по-моему квалифицированность мало влияет на результат.
Я думаю, как только появится такая серьёзная угроза, разработчики усилят безопасность системы (например, сделают что-то типа монтирования раздела /home с опцией noexec или что-то в этом роде). В том, что разработчикам той же Ubuntu не плевать на безопасность системы, можно убедиться вот тут wiki.ubuntu.com/Security/Features, — как видно с каждым релизом возможности системы безопасности только расширяются.
UFO just landed and posted this here
А если это будет не бмнарник, а, скажем, python скрипт? Во всех может и не заработает, но если доля заметна, то смысл есть.
Не знаю как килоггер, а бинарник запускающися на всех версиях линукса сделать просто.
Достаточно слинковать статически с libc и другими библиотеками.
Достаточно слинковать статически с libc и другими библиотеками.
Новость, сенсация, подробностей никаких, только крики «Linux/Mac в опасности, покупайте антивирь».
Интересно, оно через Little Snitch пробивается или нет?
Интересно, оно через Little Snitch пробивается или нет?
Долго же в DrWeb писали кроссплатформенный вирус. Может быть, следующий получится уже лучше.
Работать в отделе линуксовом/маковом отделе антивирусной компании с одной стороны сложно, а с другой — просто. Сложно понятно почему, а просто потому что стоит поднять продажи пользователям с нуля хотя бы до десятка в год — ты герой.
В таких случаях клиент для доения очевиден — государство. И правда, некоторые сборки «школьного линукса» поставлялись с антивирусом Касперского, потому что дети — это святое, и им же нужна безопасность.
Так что нам все хиханьки да хаханьки, а дрвэб так и будет писать в своих отчетах для госзаказчиков что-нибудь типа «Пользователи ОС „Линукс“ и „Мак ОС Икс“ легкомысленно относятся к антивирусной безопасности. В то же время за последний год число вирусных угроз для этих ОС увеличилось на 10000%, включая такой опасный „троян“ как BackDoor.Wirenet.1»
В таких случаях клиент для доения очевиден — государство. И правда, некоторые сборки «школьного линукса» поставлялись с антивирусом Касперского, потому что дети — это святое, и им же нужна безопасность.
Так что нам все хиханьки да хаханьки, а дрвэб так и будет писать в своих отчетах для госзаказчиков что-нибудь типа «Пользователи ОС „Линукс“ и „Мак ОС Икс“ легкомысленно относятся к антивирусной безопасности. В то же время за последний год число вирусных угроз для этих ОС увеличилось на 10000%, включая такой опасный „троян“ как BackDoor.Wirenet.1»
Viva Las Vegas! Если напугать, то начинают платить ;-) а если не пугать — то все, как бы, хорошо. Должно же распространение не Windows систем приносить кому то деньги! Оно и приносит, и это, скорее всего, маркетинговый ход. Потому что вирусы были и раньше, просто чтобы ими обзавестись надо было проявлять большую беспечность, и никого не запугивали вирусной угрозой. А теперь этот рынок подрос, да еще как!
Где ссылка на гитхаб?
Большинство комментаторов слишком наивны. Есть довольно внушительный список вирусов и троянов которые существуют и работают под *nix. Про уязвимости которые есть, но о которых знают только «избранные» я вообще молчу.
Но чего нельзя отрицать, так это того, что в устах компании Dr.Web — эта новость звучит как неприкрытый пиар.
Но чего нельзя отрицать, так это того, что в устах компании Dr.Web — эта новость звучит как неприкрытый пиар.
> Есть довольно внушительный список вирусов и троянов которые существуют и работают под *nix.
Где есть?
Где есть?
Здесь же: en.wikipedia.org/wiki/Category:Linux_viruses
Это по-вашему внушительный список? :) К тому же добрая половина этих вирусов датирована первой половиной 2000-х и работать, даже на устаревших по современным меркам системах, они не будут.
Люди, не сочтите за труд объяснить мне или кинуть ссылку, как вообще в браузере могут быть такие дырки, что бы через них что-то скачивалось да ещё и запускалось бы. Это же как я понимаю через javascript делается? Ну ладно, допустим скачивается в кеш, но запускается то как?
Переполнение буфера в какой-то апи функции(например при обратке какого-нибудь атрибута типа scr у какого-нибудь элемента)-> пропись стека-> перетирание адреса возврата-> передача управления в нужную область памяти, где находится код вируса. Ну так делалось в 90е.
А щас как делается? Я просто не могу поверить в то, что сильно ограниченный по правам JavaScript может что-то куда-то записать, и это до сих пор не прикрыли.
flash, java, pdf-plugin… Еще добавить?
Добавьте конечно. Просто (да не запинают меня пользователи) мне всегда казалось, что известная корпорация специально допускает уязвимости в своих операционках и прикрывает их не менее дырявыми апдейтами, дабы состаять в симбиозе с производителями вреденосных и антивредоносных программ.
Причем тут JavaScript. У 90% дырявый флешплеер врублен, сколько через него уже атак было. Парсер html/css тоже может потенциально ошибки содержать. Аналогично и рендер систему. Потенциально мест где может быть уязвимость очень много. Как делается сейчас — да по сути так же.
флеш врублен у ВСЕХ кого я знаю и у меня в том числе под обоими системами как win7 так uuntu1204 вирусов за последние лет 5 не могу вспомнить, только то что таскают флешками, так они никого не беспокоят они даже не запускаются ибо спрашивает винда, программу автозпуска или просто посмотреть на флешку. Ах да может дело в том что версия фдеша стоит всегда последняя?
добавьте конечно. А что, если флешу разрешается писать в файлы?
Куда угодно флеш писать не может. Тут описано куда может habrahabr.ru/post/111176/
очерт! Моему Debian for PowerPC теперь придется запускать qemu, чтобы кросс-платформенный вирус почувствовал себя комфортно? )
Кому-нибудь удалось найти хоть какую-нибудь информацию о способах распространения? Или это вирус из разряда «rm -rf /»?
UFO just landed and posted this here
Sign up to leave a comment.
BackDoor.Wirenet.1 — первый кросс-платформенный «троян», работающий под Linux и Mac OS X