BackDoor.Wirenet.1 — первый кросс-платформенный «троян», работающий под Linux и Mac OS X

    Первой обнаружение нового вируса анонсировала компания Dr.Web. Добавление BackDoor.Wirenet.1 в базу сопровождалось новостью на сайте компании, что и не удивительно, ведь событие в какой-то мере знаковое.

    Описание BackDoor.Wirenet.1 из вирусной базы Dr.Web:

    Троянец-бэкдор, способный работать в операционных системах Linux и MacOS X. Обладает функционалом кейлогера, способен красть пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin.
    При запуске копирует себя в домашнюю директорию пользователя.
    В MacOS: в папку %home%/WIFIADAPT.app.app
    В Linux: в %home%/WIFIADAPT
    Устанавливает соединение с удаленным командным центром по адресу 212.7.208.65.
    Использует проверку соединения с использованием алгоритма шифрования Advanced Encryption Standard (AES).
    Добавлен в вирусную базу Dr.Web: 2012-08-21
    Описание добавлено: 2012-08-22

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 121

      +18
      Точно ~/WIFIADAPT, а не ~/.WIFIADAPT?
        +27
        Т.е. %home% вместо $HOME или ~ вас не смущает?
          +1
          это чтоб всем людям с противоположной стороны сразу понятно стало :)
            +3
            Конечно, это ведь для них написано, чтобы они могли сказать «а вот в ваших линуксах тоже трояны».
              +1
              Да нет… это ляпа такая на страничке «описания» вируса под линукс… мдя.
                +2
                Да я как бы в курсе. Вся соль именно в том, что всё это (и не в первый раз) пишется именно для «людей с противоположной стороны». Ну и для слабых духом свежелинуксоидов, должен же кто-то ДрВебФорЛинукс покупать. Ну и мне заодно читать приходится (на работе Энтерпрайз Сервер, решил, раз уж так вышло, на авторские новости подписаться).
              0
              Да всё нормально. Видно что «людям с противоположной стороны» постепенно, как минимум пользуются продуктами со «светлой стороны»))
          +44
          Его тоже надо самостоятельно компилировать и устанавливать?
            +3
            А правда, что софт написанный на одной машине без перекомпиляции не работает на другой? И правда, что без специальный процедуры «установки» у меня в ~ ни один исполняемый файл работать не будет?
              +22
              У меня в /home вообще ни один работать не будет, оно с noexec смонтировано.
                –1
                Это не повод говорить что не будет работать нигде. И что насчет первого вопроса?
                  0
                  Ну, вообще говоря в линуксе переносимость ограничена. Можно, конечно, действовать по принципу «всё своё ношу с собой» и незаметно выкачивать из интернета 100 метров библиотек, но обычно бинарная совместимость даже между двумя смежными релизами убунты никем не гарантируется, нужная библиотека легко может взять и поменять soname.
                    +1
                    Ограничена, но не невозможна. 80е прерывание, статическая линковка и имеем переносимый код.
                      +3
                      Вы себе хорошо представляете размер получившегося исполняемого файла? При проникновении через уязвимость в браузере он сильно рискует банально не докачаться.
                        0
                        Все зависит от того, что именно нужно. Файловые операции не нуждаются ни в чем, кроме 80го прерывания, к примеру.
                          +8
                          Я не пойму, мы сейчас говорим о кейлоггере, которому надо пинать иксы и использовать libssl для шифрования своего траффика (как указано в новости вашего работодателя), или о сферическом коне в вакууме?
                            0
                            Для начала о сферическом коне в вакууме. Раз на данный момент выяснили, что не обязательно что-то пересобирать и «устанавливать» можно двигаться дальше.
                            SSL для AES ну вот ни разу не нужна. Остается перехват клавиатуры, но с этим я никогда в никсах не работал.
                              –2
                              О, в никсах вообще есть dinamic loading и особо тащить ничего не надо…
                                0
                                Я вас удивлю, возможно, но в виндах оно тоже имеется (LoadModule)…
                                  0
                                  Не удивите :-)
                              +2
                              Так можно через браузер микроядро залить, а оно уже потом утянет всё что надо спокойненько.
                        0
                        kekekeks вот от тебя не ждал =/
                        ЗАЧЕМ писать бинарные вирусы для *nix?! Есть же Perl/Python/Bash!

                        Чтобы не засорять длинными комментариями, дам ссылку на свой последний пост про малварь для *nix stproject.info/blog/?p=2019
                          +1
                          Ну я вбросил стандартную шутку, а эти скучные люди начали спорить. Пришлось делать серьёзное лицо и поддерживать дискуссию.
                      0
                      Вообще я не совсем понял как запрет на выполнение работает у линукса? Например если у меня есть скриптовый файл, к слову foo.sh скрипт, то его нельзя запустить как ./foo.sh если у файла нет прав на выполнение, но зато можно запустить как sh foo.sh. В чём тогда смысл?
                        0
                        Нельзя запускать никакие бинарники и мапить в память soшки, например. При желании можно попробовать поконфигуряять AppArmor так, чтобы он не давал шеллам загружать оттуда скрипты.
                          –1
                          в винде например, при резпрвировпнии блока виртуальной памяти можно было не указать флаг разрешенич на выполнение
                          msdn.microsoft.com/en-us/library/windows/desktop/aa366887(v=vs.85).aspx
                          msdn.microsoft.com/en-us/library/windows/desktop/aa366786(v=vs.85).aspx

                          тогда, типа того что, данные в этом блоке нельзябыло пустить на непосредственное выполнение. В Линуксе тоже как-то так?
                            +1
                            Ну, вообще, да, DEP используется по-умолчанию. Соответственно, при попытке смаппить в память с таким флагом soшку с noexec-раздела у вас не получится.
                        0
                        Можно нубовопрос?
                        Судя по всему вы к программированию имеете отношение — дык вот свои-то поделки надо как-то запускать. На другом разделе держите?
                          0
                          Ну да, а что? У меня вообще в основном C#, так что проблем не возникает.
                            0
                            Просто расширяю кругозор. Интересуюсь, как люди делают. Спасибо.
                    +11
                    На ЛОРе уже посмеялись.
                        +23
                        Спасибо.
                        Особенно доставил комментарий:
                        На официальном сайте производителя (др.веб) вируса не нашел. Кто его вообще видел кроме создателей? Где взять?
                          +1
                          А ссылки на скачивание там есть?
                            +27
                            К черту ссылки. В репозитории когда появится?
                              +1
                              Там будет старая версия, хочу nightly билды
                                0
                                Сами из исходников собирайте.
                                  +19
                                  Я чайник, я не хочу ничего собирать, я хочу sudo apt-get install backdoor-wirenet
                              +2
                              «Где можно взять исходники и принимают ли в апстрим патчи?» хехе
                                0
                                Спасибо, давно так не смеялся. Особенно порадовала ссылка на Албанский вирус
                              +22
                              Пиар Dr.Web
                                0
                                Антипиар:)
                                +9
                                из оригинала на сайте:
                                > Механизм распространения этого троянца еще выясняется.
                                В таких защищенных системах, как Linux и MacOS, это как раз самое интересное. Это естественно, что если у меня (был) например рут, так я любой кейлоггер забабахаю.
                                Если оно умеет через какую-нить дыру повышать свои привилегии, тогда да — это новость.
                                А так очередная кроссплатформенная штучка…
                                PS. Некоторые антивирусные компании взяли моду обзывать вирусом (червем, и т.д.) всякую дрянь, даже которую для линукса из под рута ставить или поди еще и самому компилировать нужно… маркетинг — такой маркетинг.
                                  +3
                                  ждем ебилдов (ц)
                                    0
                                    По крайней мере, в драйвере nvidia только недавно пофиксили очень удобную уязвимость, что уже наводит на нехорошие мысли…
                                      +4
                                      Судя по тому, что в ~ ставится, особо рутовые права могут быть и не нужны.
                                        +3
                                        А в windows конечно же есть куча дыр на повышение привилегий. Мы сейчас не рассматриваем вариант, когда UAC отключен или пользователь всегда отвечает «да» на запрос запуска под админом от только что скаченного кейгена.
                                          +1
                                          Погуглите на эту тему… Во времена Vista, видел скрипт запускающий прогу от админа в обход UAC.
                                          Т.е. запускаешь скрипт и винда ни слова не говоря, запускает нужную прогу с правами админа…

                                          Так же видел doc файл, в котором набрано несколько строк кракозябр… так вот если в проводнике провести над этим файлом курсором мышки или просто выделить его клавой, то експлорер крешился. Это был концепт уязвимости позволяющей запустить что-то в системе с минимальным задействованием пользователя…

                                          Так что не удивлюсь если для повышения привилегий ничего экстраординарного не потребуется…
                                              0
                                              Ну и что КЭП? Думаете никто не знал, что в операционках есть эксплоиты повышения
                                                0
                                                привелегий?
                                                Да они всегда были… но это совершенно не значит, что таковых нет для винды…
                                                  0
                                                  Мы сейчас обсуждаем фразу:
                                                  В таких защищенных системах, как Linux и MacOS, это как раз самое интересное. Это естественно, что если у меня (был) например рут, так я любой кейлоггер забабахаю.
                                                    0
                                                    Эксплоит штука тонкая и под линуксами зависит много от чего… (система, кернел, железо, и тд и тп). Написать же кроссплатформенный червь который взлетит и на мандриве x64 и на убунте x86 я себе представляю делом крайне неблагодарным.
                                                  0
                                                  ответил чуть ниже...
                                              0
                                              Еще из оригинала на сайте
                                              угроза не представляет серьезной опасности для пользователей Антивируса Dr.Web для Mac OS X и Антивируса Dr.Web для Linux.
                                              0
                                              А автор «трояна» — самоубийца однако: IP принадлежит какому-то дид-серверу на leaseweb в нидерландах. Кстати пингуется…
                                              inetnum: 212.7.192.0 — 212.7.223.255
                                              netname: PL-DEDISERV-20100812
                                              descr: Dediserv Dedicated Servers Sp. z o.o.
                                              country: NL
                                                +20
                                                Это cdn докторвеба :)
                                                +3
                                                Можно уверенно говорить, что под линукс вирусов нет до тех пор, пока появление каждой вредоносной программы под линукс будет поводом для написания новостей на всех как-то связанных с IT ресурсах.
                                                  +3
                                                  Под Linux вирусов ПОКА нет, в силу того что пользователи ОС чаще всего квалифицированные люди.

                                                  Как минимум глупо отрицать, что как только аудитория этой операционной системы наполнится «домохозяйками», то и на этом поле будет работать вредоносное ПО спекулирующее на недалекости пользователей.
                                                    –1
                                                    Демимурыч, так вот где ты теперь после drupal.ru
                                                      0
                                                      Я рассуждал не о причинах явления, а о его признаках.
                                                        0
                                                        Домохозяйке можно легко объяснить, что программы, скажем, в Ubuntu, ставятся только с помощью центра приложений/sudo apt-get install, а все остальное — вирусы и пароль давать им не надо.
                                                          +2
                                                          Далеко не для всего вредоносного ПО нужны рутовые права.

                                                          Почитайте например о эпидемии связанной с вирусом ILOVEYOU
                                                          реализация подобного механизма распространения в Linux сейчас не требует больших знаний в программировании, и тем более не требует рутовых прав для работы.

                                                            0
                                                            Можно подробнее, что вы имеете ввиду?
                                                            Насколько я знаю, по умолчанию в /home файл становится исполняемым только после того, как юзер явно это указал. А если монтировать /home с noexec, то вообще бояться нечего. Или я что-то упускаю?
                                                              0
                                                              Вероятно имелось ввиду, что запроса пароля домохозяйки бояться не будут, а home даже если и делается на отдельном разделе, то обычно без noexec по умолчанию.
                                                                0
                                                                Чтоб сделать chmod +x даже пароля не нужна.
                                                                  +1
                                                                  да ну, т.е. он сам себе права и выдаст?
                                                                    +2
                                                                    Только заметил ваш коментарий ниже, теперь мысль понятнее.
                                                                      0
                                                                      Ещё как вариант — пользователь сам его запустит. Пароль пользователя обычно спрашивается только при логине или sudo/gksu/..., но для работы в ~ он уже не нужен, если пользователь залогинен.
                                                                  +1
                                                                  Если в каком-то софте исполняющегося от пользователя, типа браузера, просмотрщика pdf или офиса, найдётся уязвимость позволяющая получить злокоду доступ к ~, то +x этот код в общем случае сможет поставить, как и организовать автозапуск при логине.
                                                                    –1
                                                                    Тут-то и проявляется одно из главных достоинств Linux — автоматическое обновление софта, а значит, и закрытие уязвимостей. Конечно, всегда можно опоздать — снова вспомним уязвимость в блобе nvidia, которую фиксили несколько месяцев, — но по сравнению с Windows, где «сам не обновишь — никто не обновит», — плюс все же огромный.
                                                                      0
                                                                      > снова вспомним уязвимость в блобе nvidia, которую фиксили несколько месяцев
                                                                      Или вот уязвимости в Adobe Reader, которые ещё не известно, пофиксят или нет: j00ru.vexillium.org/?p=1175
                                                                        0
                                                                        Это не проблемы линукса все же, flash player, reader и java — обычно самые уязвимые места и в той же винде.
                                                                        Flash и reader вполне себе заменимы, без пропиетарных дров тоже можно прожить, ну а ява вообще не каждому нужна.
                                                                    +1
                                                                    Пользователи работают используя DE (КДЕ Гном etc).
                                                                    Современные ДЕ используют очень много разных, как специфических для ДЕ так общераспространенных скриптовых языков позволяющих управлять этим ДЕ.
                                                                    И этим скриптам не нужны права на исполнение. За интерпретацию и выполнение отвечает само ДЕ.

                                                                    Линукс пользователь использующий в работе ДЕ защищен ровно столько же сколько и пользователь windows. Безусловно я говорю сейчас исключительно о атаках спекулирующих на слабой квалификации пользователя.

                                                                      +1
                                                                      Все равно остается /tmp
                                                                        0
                                                                        А зачем вам из /tmp что-то запускать?
                                                                        exec нужен только из /bin /sbin /lib /usr/bin /usr/sbin /usr/lib и, иногда, /opt — все остальное можно монтировать с noexec.
                                                                    0
                                                                    Главное объяснить хозяйке, что в Ubuntu приложения ставятся через sudo apt-get install. После этого с вирусами как-то по любому попроще будет, да
                                                                    0
                                                                    Скорее зависит о распространенности в целом, а не от средней квалификации пользователей.
                                                                      +1
                                                                      Вы забываете о возможности проникновения через баги в браузерах. Тут по-моему квалифицированность мало влияет на результат.
                                                                        0
                                                                        Я думаю, как только появится такая серьёзная угроза, разработчики усилят безопасность системы (например, сделают что-то типа монтирования раздела /home с опцией noexec или что-то в этом роде). В том, что разработчикам той же Ubuntu не плевать на безопасность системы, можно убедиться вот тут wiki.ubuntu.com/Security/Features, — как видно с каждым релизом возможности системы безопасности только расширяются.
                                                                    • UFO just landed and posted this here
                                                                        +1
                                                                        А если это будет не бмнарник, а, скажем, python скрипт? Во всех может и не заработает, но если доля заметна, то смысл есть.
                                                                        • UFO just landed and posted this here
                                                                            +1
                                                                            А менеджеры пакетов на что? :)
                                                                            • UFO just landed and posted this here
                                                                              0
                                                                              Сколько? Можете накидать хотя бы примерный список?
                                                                            0
                                                                            Не знаю как килоггер, а бинарник запускающися на всех версиях линукса сделать просто.
                                                                            Достаточно слинковать статически с libc и другими библиотеками.
                                                                              0
                                                                              Правда в пределах одной платформы (x86, x86_64...)
                                                                                –1
                                                                                Ну-ну. А теперь подумайте, сколько такой зверь будет весить?
                                                                                  +2
                                                                                  Когда это юзеров стал интересовать размер трояна?
                                                                                    –3
                                                                                    Вполне может не успеть стянуться. Большая часть знакомых юзают linux с модемом, где скорость оставляет желать. А много ли людей с достаточно быстрым доступом в интернет?
                                                                                      +2
                                                                                      Привет из будущего! Как оно там, в 90-х?
                                                                            +1
                                                                            Новость, сенсация, подробностей никаких, только крики «Linux/Mac в опасности, покупайте антивирь».

                                                                            Интересно, оно через Little Snitch пробивается или нет?
                                                                              +11
                                                                              Долго же в DrWeb писали кроссплатформенный вирус. Может быть, следующий получится уже лучше.
                                                                                +5
                                                                                Работать в отделе линуксовом/маковом отделе антивирусной компании с одной стороны сложно, а с другой — просто. Сложно понятно почему, а просто потому что стоит поднять продажи пользователям с нуля хотя бы до десятка в год — ты герой.
                                                                                В таких случаях клиент для доения очевиден — государство. И правда, некоторые сборки «школьного линукса» поставлялись с антивирусом Касперского, потому что дети — это святое, и им же нужна безопасность.
                                                                                Так что нам все хиханьки да хаханьки, а дрвэб так и будет писать в своих отчетах для госзаказчиков что-нибудь типа «Пользователи ОС „Линукс“ и „Мак ОС Икс“ легкомысленно относятся к антивирусной безопасности. В то же время за последний год число вирусных угроз для этих ОС увеличилось на 10000%, включая такой опасный „троян“ как BackDoor.Wirenet.1»
                                                                                  0
                                                                                  Viva Las Vegas! Если напугать, то начинают платить ;-) а если не пугать — то все, как бы, хорошо. Должно же распространение не Windows систем приносить кому то деньги! Оно и приносит, и это, скорее всего, маркетинговый ход. Потому что вирусы были и раньше, просто чтобы ими обзавестись надо было проявлять большую беспечность, и никого не запугивали вирусной угрозой. А теперь этот рынок подрос, да еще как!
                                                                                    +4
                                                                                    Где ссылка на гитхаб?
                                                                                      +4
                                                                                      Большинство комментаторов слишком наивны. Есть довольно внушительный список вирусов и троянов которые существуют и работают под *nix. Про уязвимости которые есть, но о которых знают только «избранные» я вообще молчу.

                                                                                      Но чего нельзя отрицать, так это того, что в устах компании Dr.Web — эта новость звучит как неприкрытый пиар.
                                                                                        0
                                                                                        > Есть довольно внушительный список вирусов и троянов которые существуют и работают под *nix.
                                                                                        Где есть?
                                                                                          0
                                                                                          Здесь же: en.wikipedia.org/wiki/Category:Linux_viruses
                                                                                            0
                                                                                            en.wikipedia.org/wiki/Linux_malware#Threats

                                                                                            Есть ещё больший список. При желании легко гуглится.
                                                                                              0
                                                                                              Это по-вашему внушительный список? :) К тому же добрая половина этих вирусов датирована первой половиной 2000-х и работать, даже на устаревших по современным меркам системах, они не будут.
                                                                                                0
                                                                                                А собственно нафига нужен «внушительный» список? По мне так достаточно одной единственной заразы, которая украдет мою кредитку и пароли от различных сервисов…
                                                                                                  0
                                                                                                  Чем «внушительней» список, тем больше вероятность подхватить заразу. Соответственно, используя Linux, вы с намного меньшей вероятностью будете заражены.
                                                                                          0
                                                                                          Люди, не сочтите за труд объяснить мне или кинуть ссылку, как вообще в браузере могут быть такие дырки, что бы через них что-то скачивалось да ещё и запускалось бы. Это же как я понимаю через javascript делается? Ну ладно, допустим скачивается в кеш, но запускается то как?
                                                                                            +3
                                                                                            Переполнение буфера в какой-то апи функции(например при обратке какого-нибудь атрибута типа scr у какого-нибудь элемента)-> пропись стека-> перетирание адреса возврата-> передача управления в нужную область памяти, где находится код вируса. Ну так делалось в 90е.
                                                                                              0
                                                                                              А щас как делается? Я просто не могу поверить в то, что сильно ограниченный по правам JavaScript может что-то куда-то записать, и это до сих пор не прикрыли.
                                                                                                +1
                                                                                                flash, java, pdf-plugin… Еще добавить?
                                                                                                  0
                                                                                                  Добавьте конечно. Просто (да не запинают меня пользователи) мне всегда казалось, что известная корпорация специально допускает уязвимости в своих операционках и прикрывает их не менее дырявыми апдейтами, дабы состаять в симбиозе с производителями вреденосных и антивредоносных программ.
                                                                                                    0
                                                                                                    За меня уже добавили.
                                                                                                    Что касается сговора — непонятно — так оно или нет. Как бы там ни было — дыр от этого не меньше.
                                                                                                      0
                                                                                                      я бы сказал, пользователям от антиврей и от апдейтов не лучше.

                                                                                                      А еще хотелось бы верить, что вирусы под линукс не пишут и не будут писать не потому что это не выгодно, а потому что это слишком затруднительно
                                                                                                        +1
                                                                                                        Не хочу вас расстраивать, но вирус под линукс пишут. Погуглите linux exploit
                                                                                                      +1
                                                                                                      Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью
                                                                                                      Бритва Хэнлона
                                                                                                    0
                                                                                                    Причем тут JavaScript. У 90% дырявый флешплеер врублен, сколько через него уже атак было. Парсер html/css тоже может потенциально ошибки содержать. Аналогично и рендер систему. Потенциально мест где может быть уязвимость очень много. Как делается сейчас — да по сути так же.
                                                                                                      0
                                                                                                      флеш врублен у ВСЕХ кого я знаю и у меня в том числе под обоими системами как win7 так uuntu1204 вирусов за последние лет 5 не могу вспомнить, только то что таскают флешками, так они никого не беспокоят они даже не запускаются ибо спрашивает винда, программу автозпуска или просто посмотреть на флешку. Ах да может дело в том что версия фдеша стоит всегда последняя?
                                                                                                        0
                                                                                                        А откуда вирусы на флешке берутся, м-м?..
                                                                                                0
                                                                                                добавьте конечно. А что, если флешу разрешается писать в файлы?
                                                                                                0
                                                                                                очерт! Моему Debian for PowerPC теперь придется запускать qemu, чтобы кросс-платформенный вирус почувствовал себя комфортно? )
                                                                                                  +1
                                                                                                  Кому-нибудь удалось найти хоть какую-нибудь информацию о способах распространения? Или это вирус из разряда «rm -rf /»?
                                                                                                    0
                                                                                                    готов для десктопа [х]

                                                                                                    Only users with full accounts can post comments. Log in, please.