Опровержение мифа о безопасности *nix | автор: Luca | 1 июня 2009

Категория: GNU/Linux

Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.linux.Prl.a.

На данный момент нам известно около тысячи случаев заражения сайтов вредоносной программой Trojan-Downloader.JS.Iframe.auy и несколько сотен серверов, зараженных программами Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.linux.Prl.a. Эти сервера постоянно рассылают почтовый спам.

Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:

/uploads/images/external/images.kaspersky.com/ru/pictures/vlweblog/207758854.png

Второй троянец является исполняемым файлом для linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:

/uploads/images/external/images.kaspersky.com/ru/pictures/vlweblog/207758856.png

Эти вредоносные программы были обнаружены нами на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ.

/uploads/images/external/images.kaspersky.com/ru/pictures/vlweblog/207758858.png

На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом not-a-virus:FraudTool.Win32.MalwareDoctor.e, который предлагает «вылечить» компьютер посетителя за $60.

/uploads/images/external/images.kaspersky.com/ru/pictures/vlweblog/207758862.png

На данный момент нам известно около тысячи случаев заражения сайтов вредоносной программой Trojan-Downloader.JS.Iframe.auy и несколько сотен серверов, зараженных программами Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.linux.Prl.a. Эти сервера постоянно рассылают почтовый спам.

Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно.

Источник

ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 1 июня 2009-го года !

Голосов: 49

Прочитано 5164 раз и оставлено 56 комментариев.

Другие новости:

Botnet - теперь и для Linux!

С января количество угроз для Android возросло в 10 раз

Взломан Kernel.org

Stuxnet, Flame и Duqu использовали GPL-код

Червь Remaiten объединяет роутеры в ботнет

Комментарии посетителей

#1. skyfire

А, я уже давно это видел на каком-то сайте. Вы тут все слоупоки.
ОЛОЛО! ВИРУС РАСПРОСТРАНЯЕТСЯ КАК КОДЕК!!! В ELF!!!!! А какогож кодеки не в пакетах? А? Короче запустить этот вирус могут только админы-школьники. А такие, сами понимаете, и без вирусов *nix за 5 секунд угробят.

(1.06.2009 - 21:41) Цитировать

#2. Zodd

Ну дайте уже нормальный вирус, без установки и без рута. Пользователь его же себе поставить не сможет, а то понимаешь ./configure make make install :)

(1.06.2009 - 23:41) Цитировать

#3. skyfire

Что интересно, в соседней новости пожаловались на незнание как запустить от рута. А ведь этот вирус на таких и рассчитан. Более продвинутые знают, что кодеки в пакетах, а не приложениях. Но если не знаешь, как запустить от рута, в чем смысл вируса? БРЕД.

(1.06.2009 - 23:45) Цитировать

#4. mono20

да ну линь гавно парни, там вирусы компилить надо, толи дело винда - она их и от рута и не от рута запускает, и постоянно обновляет по сети. линь сакс, да

(2.06.2009 - 00:07) Цитировать

#5. prof_gcc

Бред конечно просто касперу нужна новая аудитория

(2.06.2009 - 00:20) Цитировать

#6. mono20

"Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно."
жара, а времена безопасности вин систем начинались? : )
а че парни давайте раз тут вирусня такая появилась скиньте мне сцылко где мона заразится, только я обычный пользователь и рута у меня нема : ( ну как осилите заразить мой комп (у меня даж файрволл не настроен, настраивал только инет соединение и все)

(2.06.2009 - 00:48) Цитировать

#7. skyfire

Цитата:
ну как осилите заразить мой комп (у меня даж файрволл не настроен, настраивал только инет соединение и все)

Лучше попробуйте заразить мой комп. У меня файрвол вообще отключен. Он просто был слишком надежен - не пускает в мои документы меня же из-под винды с других компов в локальной сети.

(2.06.2009 - 01:07) Цитировать

#8. abyss

Ох№еть! Целых четыре трояна сомнительной работоспособности. А теперь давайте подсчитаем кол-во вирусов под винду. Долго считать будем...

(2.06.2009 - 01:10) Цитировать

#9. Mike Nerevarin

Таки-да, дайте ссылку на заражение, я хочу заразиться!

(2.06.2009 - 01:38) Цитировать

#10. ifm

про уязвимости в лине сказано давно, и в общем-то их никто не скрывает. А вот что у нас делает артель Мелких и Мягких под управлением любителя сосисок и девелоперов Баллмера?
А вот что: http://www.computerra.ru/own/430269/

(2.06.2009 - 07:35) Цитировать

#11. gaal

2 skyfire
2 Zodd

не вирус это, а троян.

исполняемые файлы могут запускаться из каталога пользователя. если только noexec на раздел.

(2.06.2009 - 08:47) Цитировать

#12. amranello

Полный бред. Объясните через какую уязвимость попадают эти так называемые вирусы? Если из за пароля 1234, то админ эникейщик и это уже не вирусы. Да даже если бы попадали через уязвимость, что мало вероятно (заплатки быстро выходят, а не по вторникам), есть SELinux и RSBAC. Объясню популярно можно указать какие файлы может обрабатывать перл по уровню доступа, например все новый файлы который появились на серваке перлом не запустятся так как уровень доступа на новые файлы — запрет на все, так же и рассылку через почту можно запретить для новых фалов. При этом я молчу про системы мониторинга, системы обнаружения вторжений, аудит. Ну вариантов настройки уровня безопасности миллион. И все это есть, открытое и бесплатное. Не зря ж линуксы установлены на многих серверах, вы где нибудь видели винду в качестве роутера в серьезной корпорации? Если админ не эникейщик, линукс можно защитить так что хр№н произойдет в системе без его ведома. Так что антивирусник не нужен линуксу.

(2.06.2009 - 09:47) Цитировать

#13. prof_gcc

>Так что антивирусник не нужен линуксу.

Полностью согласен, высер со стороны ЛК, это полный бред, расчитанный на лохов, таких как Люся, чтобы боялись, а стр№х само собой приведет к тому, что пользователи которые только начинают работать в Линукс ставили себе решения от каспера. Продажи то падают однако, а каспер на каждом углу заявляет о том, что он первый кто сбацал антивирусное решение для Линукс.

(2.06.2009 - 10:09) Цитировать

#14. ifm

prof_gcc, amranello, abyss,
Что верно, то верно.
Однако вы спорить спорьте, а статейку с компьютерры почитайте. Весьма интересно.

(2.06.2009 - 10:24) Цитировать

#15. 4fun

Новость - аццкий боян! Еще неделю назад (если не больше) на секлабе валялась.

Вот только я до сих пор так и не понял, как оно распространяется. Потому как если оно не распространяется само, а требует участия юзера, то это уже не вирус.

(2.06.2009 - 11:02) Цитировать

#16. gaal

2 4fun

http://www.viruslist.com/ru/weblog?weblogid=207758875

(2.06.2009 - 11:28) Цитировать

#17. prof_gcc

> http://www.viruslist.com/ru/weblog?weblogid=207758875

Вот и все доказательство того, что это фуфел галимый :-)

(2.06.2009 - 11:37) Цитировать

#18. mono20

1. кража пароля от FTP, с помощью вредоносных программ;
2. перебор паролей от FTP, SSH по словарю;
3. проникновение через phpbb.
дооо, кража пароля. смешно люся, если я украду у тя пароль я могу приходить по сети и иметь твою тачку так, как ты ее сам не имел никогда : ) (ну опять же быдлоложь нацеленная на быдлоюзера, как теперь майкрософт заработать бабла если рекламе уже мало кто верит? стр№х! он еще действует вызывая панику)
люся тя в детстве "бабаем" пугали? ты 100% до сих пор его боишься хлеще чем консоли : )

(2.06.2009 - 11:49) Цитировать

#19. windoze_uzer

> интерпретатор Perl запущен с параметрами -w и путем к файлу,

Хахаха... только виндовые быдлоюзеры ставят для запуска скрипта ключ -w :). Под Linux его обычно не используют. Касперыч нарыл экзамплов в инете и написал вирус даже не посмотрев :)
Ключ -w включает дополнительные warnings при выполнении скриптов :)

> Из всего выше указанного можно сделать простые выводы для предотвращении заражения машин этим спам-ботом:

> 1. Использовать сложные пароли
> 2. Использовать последние версии продуктов установленных на сервере
> 3. Следить за безопасностью на всех компьютерах, используемых для доступа к сайтам.

В случае появления трояна на машине под Windows существует только один способ защиты доступный домохозяйкам - выключить компьютер и ждать обновления от MS и Касперского :))))))))))))

(2.06.2009 - 12:09) Цитировать

#20. ifm

А почему каспер так много знает про троян, который, к тому же, появился неизвестно откуда? А между тем, про некоторые вирусы под винду ни слова не написано на том же вируслисте....
Как там было на луркморе.... А, точно! Символизирует...

(2.06.2009 - 12:19) Цитировать

#21. 4fun

gaal написал:

http://www.viruslist.com/ru/weblog?weblogid=207758875

А слона-то поди и не углядели.

> кража пароля от FTP, с помощью вредоносных программ;

В студию пример такой программы для *nix

> перебор паролей от FTP, SSH по словарю;

Да, да... особенно, если пароль стоит что-то типа fGyy5DmFbk. Бегом записывай в словарь! :)

> проникновение через phpbb.

А на домашней тачке-то он зачем?

(2.06.2009 - 12:34) Цитировать

#22. gaal

ах, если бы. 123456. password. и тд. самые распространенные пароли.

(2.06.2009 - 12:35) Цитировать

#23. windoze_uzer

gaal,
тогда надо писать статью не про "троян в Unix", а "троян на перле, использующий дыры в голове пользователей"
кстати, такой троян может работать на любой ОС где есть перл. и под виндой будет работать. единственно mail команды там нет :)

(2.06.2009 - 13:14) Цитировать

#24. gaal

будет. тут рассчет на хостинг. обычно известно, что за ПО там запущено.

трояны на это и рассчитаны.

(2.06.2009 - 13:28) Цитировать

#25. 4fun

mono20 написал:
боишься хлеще чем консоли

Улыбает меня эта боязнь консоли.
В тех же виндах, если сидишь под обычным юзером, то без консоли даже папку не расшаришь.
Но школьникам этого не понять, ибо сидят все под админом.

(2.06.2009 - 13:32) Цитировать

#26. mono20

а люся уже за свой бред в каментах не отписывается? ну типа сказала бы что слили статью по полной, взлом сводится к тому что надо знать пароль, а если есть пароль, то нах нужен взлом не понятно. и к тому же ВСЕ статьи про взлом линукса которые я здесь видал начинаются с того, что если у "хакера" есть рутовый пароль и айпишник машины + он закончил хотябы 1 класс школы для дибилов и далее по тексту.... : )
парни давайте я к вам домой приду с отверткой, вы мне показываете машину, я ее ломаю в не зависимоти от ОС (отвертку со всей дури в предполагаемое место нахождения проца на материнке, даже корпус раскручивать не буду) вот это взлом я понимаю, а так тока линукс это несерьезно : )

(2.06.2009 - 13:35) Цитировать

#27. windoze_uzer

gaal, будет. тут рассчет на хостинг. обычно известно, что за ПО там запущено.

а Unix тут причем? Так и пишите "троян для хостингов с установленным Perl"
Ну я на Java напишу трояна который везде будет запускаться где есть Java. Даже на телефонах. Так и что, Unix уязвим становится сразу?

(2.06.2009 - 13:36) Цитировать

#28. gaal

2 mono

не рутовый

2 windoze_uzer

потому что троян работает на никсовом хостинге biggrin

>Java

кстати тоже бывают

(2.06.2009 - 13:51) Цитировать

#29. mono20

4fun написал:
Улыбает меня эта боязнь консоли.

дык, это же люди которые ниче в жизни понять не смогли, ни одним инструментом толком работать не могут, иначе бы знали что ЛЮБОЙ инструмент требует ЗНАНИЙ работы с ним, иначе как можно работать с интрументом если не знаешь принципов работы? но в некоторых областях все же так можно делать (юриспруденция, бухгалтерия и пр.). но если ты знаешь как работать в консоли можно с уверенностью сказать что сделать настройку там быстрее + эти знания будут актуальны очень долгое время в отличии от гуи.
музыканты знают как добиться звучания какое им надо (на своей терминологии, ноты там и пр.), знают какие инструменты для этого нужны и как добиться от инструмента нужной частоты. знают как устроены их инструменты и принципы формирования звука.
художники, аналогично, про смешение цветов, у меня сестренка дизайнер ПОНИМАЕТ как эффекты в фотошопе создаются (на основе матриц и прочей математики). кстати она сама может поставить и винду и линь (странно с учетом того, что "обычный пользователь" вроде как не должен знать, но вот парадокс самойдружелюбнойоперационкиназемле, что она научилась переустанавливать винду т.к. часто приходилось : ) + у нее в группе "парни" не знали как это делать). вот такие пироги.
сильно сомневаюсь что те люди, которые используют компьтер как средство автоматизации своего труда не знают как он работает, это могут позволить себе лишь те кто занимается быдлоработой и знает что от него требуется заполнить "вот эту бумажечку" так же в "вёрде" (да, да в "вёрде" : ) ), и даже это делают они криво - все форматирование пробелом(!!!!), но стоит ли на них равнятся при сознании качественного инструмента? я думаю нет. ибо их "труд" легко автоматизируется и далее они нах не нужны.

(2.06.2009 - 13:54) Цитировать

#30. пиTUX

mono20
Прогавкай нам, кем работаешь, ебливая красноглазая псинка

(2.06.2009 - 17:00) Цитировать

#31. skyfire

пиTUX, какой сочный баттх№рт, лол. :3

(2.06.2009 - 17:43) Цитировать

#32. gaal

кто тебя так? upset

(2.06.2009 - 17:46) Цитировать

#33. Капитан_Очевидность

Всё, начались каникулы. Толстые школотролли будут доставать. =)

(2.06.2009 - 17:55) Цитировать

#34. gaal

упс. выдержка:
Зачастую баттхёрт проявляется в употреблении слова "баттхёрт" и во вставке в пост ссылок на эту статью. Вообще есть такой признак - кто в споре первый сказал "баттхёрт", у того баттхёрт, вот так вот.

(2.06.2009 - 18:01) Цитировать

#35. пиTUX

Маленькие красноглазые п№дорята, ядра скомпилили, маны скурили? Теперь глянцуйте похотливыми язычками заскорузлую от спермы анальную щетину друг у дружки,проклятые пидромрази...

(2.06.2009 - 18:19) Цитировать

#36. skyfire

gaal, ты совершенно не понимаешь смысла баттх№рта.

Цитата:
Как правило, страдающий баттхёртом человек теряет все способности к контролю своих действий и незамедлительно начинает проявлять свой негатив всеми доступными способами — пишет гневные посты, пытается пожаловаться органам, угрожает экстерминатусом

Цитата:
Прогавкай нам, кем работаешь, ебливая красноглазая псинка

Цитата:
начинает проявлять свой негатив всеми доступными способами — пишет гневные посты

(2.06.2009 - 18:27) Цитировать

#37. gaal

2 skyfire

может быть. вообще он больной. по-моему Лука взял ролик с его блога.

(2.06.2009 - 18:44) Цитировать

#38. skyfire

Цитата:
может быть. вообще он больной. по-моему Лука взял ролик с его блога.

Какой ролик? Про Столлмана штоле?

(2.06.2009 - 18:50) Цитировать

#39. skyfire

Цитата:
Ау мну стаид ленюбьзьд мацопушто йа нармальный гей ане фортачный лашок

Anata wa bonkura desu ka. (пишу романизацией, ибо тут, насколько я знаю, юникод работает очень и очень хр№ново)

(2.06.2009 - 19:05) Цитировать

#40. Ольга Омельченко

Да не обращайте на него внимания. Он же сам о себе написал: пиТУХ. О чём ещё можно говорить? У Люси только такие поклонники и могут быть.

(2.06.2009 - 20:41) Цитировать

#41. prof_gcc

Товарисчь Люся, забаньте плиз педрилко, а то вам и так народ не очень верит, а с такими товарисчами... Или дайте IP с которого данные посты посланы были, чтобы товарисча нагнули и произвели им же описанные операции

(2.06.2009 - 20:46) Цитировать

#42. Ольга Омельченко

Гы! особенно вот это понравилось: "вам и так народ не очень верит".

(3.06.2009 - 07:33) Цитировать

#43. ifm

Ольга Омельченко, а че, в последнее время СЛОР стал для меня заменой башорга )
Все, о чем мечтали башевцы - воплощено здесь ) Коменты к цитатам добавлены )))

(3.06.2009 - 09:12) Цитировать

#44. _lexx

Вы че, вирусы есть на Linux
откройте терминал введите:
Trojan-Mailfinder.Perl.Hnc.a

Увидите command not found
Вы заражены самым страшным вирусом... называется "Касперский хочет срубить бабла с дураков" :-D

(3.06.2009 - 09:29) Цитировать

#45. skyfire

Цитата:
Вы че, вирусы есть на Linux
откройте терминал введите:
Trojan-Mailfinder.Perl.Hnc.a

Увидите command not found
Вы заражены самым страшным вирусом... называется "Касперский хочет срубить бабла с дураков"

С таких как ты, которые не отличают команды от названий штоле?

(3.06.2009 - 11:46) Цитировать

#46. gaal

Web - будущее доставки приложений.

тире пропустил.

(3.06.2009 - 12:43) Цитировать

#47. dro4er

все это г№вно на хостингах не требует даже какой-нить серьезной защиты (типа selinux и rsbac), все отлавливается тупо мониторилкой (правильными лимитами) на smtp и акк банится, а пользователь получает по п№здюлятору...

(3.06.2009 - 15:57) Цитировать

#48. gaal

ну да. в данном случае. но нужно уметь настраивать. по дефолту не безопасно.

(3.06.2009 - 16:08) Цитировать

#49. Ольга Омельченко

ifm написал:
Ольга Омельченко, а че, в последнее время СЛОР стал для меня заменой башорга )

Да, пожалуй, Вы правы! К Люсе только так и можно относится - как к ходячему приколу. Если же пытаться воспринимать его всерьёз, то он - несчастное недоразумение :):):).

(3.06.2009 - 17:13) Цитировать

#50. ifm

gaal написал:
ну да. в данном случае. но нужно уметь настраивать. по дефолту не безопасно.

Далбайоп! а где по дефолту безопасно? И для чего, спаршивается, админ нужен?

(3.06.2009 - 17:28) Цитировать

#51. gaal

2 ifm

ты пр..урок? или прикидываешься?

(3.06.2009 - 17:30) Цитировать

#52. ifm

gaal написал:
ты пр..урок? или прикидываешься?

А вот теперь обосновывай, с какого х№ра ты меня придурком попытался назвать. И ответь на вопрос.

(3.06.2009 - 17:45) Цитировать

#53. MOP3E

mono20 написал:
иначе бы знали что ЛЮБОЙ инструмент требует ЗНАНИЙ работы с ним

Во-первых, не знаний, а умений. А во-вторых, ты умеешь, например, работать на швейной машинке? Или гаечным ключом? И если гаечным - то каким именно? И что именно им умеешь делать? Ну, нету у кого-то умений для работы с консолью. Этот человек НЕ ЗНАЕТ как правильно с ней работать. Зато он знает что-то другое.

(3.06.2009 - 21:43) Цитировать

#54. ifm

MOP3E написал:
Во-первых, не знаний, а умений. А во-вторых, ты умеешь, например, работать на швейной машинке? Или гаечным ключом? И если гаечным - то каким именно? И что именно им умеешь делать? Ну, нету у кого-то умений для работы с консолью. Этот человек НЕ ЗНАЕТ как правильно с ней работать. Зато он знает что-то другое.

Полностью согласен. Но есть нюанс. Этот человек не настолько туп, чтобы орать на каждом углу, что швейная машинка г№вно.
...А на швейной машинке я умею работать... Не профи, но все же...

(4.06.2009 - 01:56) Цитировать

#55. MOP3E

ifm написал:
Полностью согласен. Но есть нюанс. Этот человек не настолько туп, чтобы орать на каждом углу, что швейная машинка г№вно.

Ты не прав. Портной не орёт на каждом углу, что тот, кто не умеет работать со швейной машинкой - тупое быдло.

ifm написал:
...А на швейной машинке я умею работать... Не профи, но все же...

... ламер, конечно! По вашей, линуксячьей классификации!

(4.06.2009 - 03:35) Цитировать

#56. ifm

Цитата:
Ты не прав. Портной не орёт на каждом углу, что тот, кто не умеет работать со швейной машинкой - тупое быдло.

Одно и то же.

MOP3E написал:
.. ламер, конечно! По вашей, линуксячьей классификации!

Нашей? Линуксячьей? Классификации?
1) При чем здесь ламер?
2) Я не линуксоид.
3) Классификация? какая классификация?
4) Это я к тому, что в жизни всякое может пригодиться. Щас найдется какой-нибудь идиот, который скажет "Фу, нищеброд, вещи свои штопаешь, на новые не хватает.."

(4.06.2009 - 06:13) Цитировать