i virus per linux non esistono? eccolo servito!

[alkat]

http://www.zeusnews.it/index.php3?ar...340&numero=999

.a.

[Guglie]

Il virus in questione infetta i binari ELF nella home directory dell'utente

non so cosa siano i "binari ELF", ma fin qui posso ritenerlo possibile

e i file nella cartella /bin

qui invece non sono per niente d'accordo: è una localizzazione, e il 95% degli utenti la installerà con un utente che non ha privilegi di scrittura in /bin, mentre chi la installa per tutti gli utenti e quindi con root è presumibilmente un amministratore e si spera che controlla il software che installa

cmq questo "virus" ha davanti a se una vita limitatissima: qualcunque admin serio saprà di questo problema e non installerà quella localizzazione

[mcz]

Per quel che ne so io i binari elf sono i normali eseguibili. In quanto al virus è del 2002 e qualsiasi antivirus te lo trova.

Concordo poi che per infettare (per quel che ne so io aggiunge la sua firma al file) i binari di /bin deve avere i relativi permessi.

Quello che più lascia pensare non è tanto il virus in se stesso, quanto il fatto che te lo scarichi da un mirror (non si sa se ufficiale o no) di Mozilla scaricando il programma. Sarebbe interessante sapere come vi è entrato.

E sarebbe anche interessante sapere quanto sicuri sono in generale i mirrors delle varie distribuzioni. Per quel che ne so io qualsiasi imbecille può proporsi come mirror e magari venire accettato (spero naturalmente di sbagliarmi).

E le varie repositories aggiuntive delle distribuzioni (penso a apt per Suse, Fedora, ecc.)???

mcz

P.S.: per i curiosi si tratta della versione 1.7.6 di Mozilla e della versione 1.0.2 di Thunderbird localizzate in coreano (quindi versioni abbastanza vecchie).
Per quel che riguarda il virus il suo nome è: Linux.RST.b, scoperto agli inizi del 2002.
La descrizione del virus, indicato come di rischio 'low' si trova da MacAffee

[U-bahn]

i virus per linux non esistono? eccolo servito!

preso "di peso" da http://www.viruslist.com/en/weblog
[code]Viruses: not a Linux problem?


David September 12, 2005 | 16:34 MSK


Slapper, one of the best known worms for Linux, is three years old tomorrow. It caused an outbreak back in 2002. This anniversary started me thinking about Linux malware:

Before Slapper, Linux viruses had been around for a while. Bliss, a virus which appeared in 1997, was the first to demonstrate that Linux was vulnerable to viruses. And once Bliss opened the door, other types of malware followed.

Many Linux viruses infect ELF [Executable and Linkable Format] files, the most common Linux file type. However, this is not the only technique. Some viruses use Unix shell scripts which are supported by most Linux distributions. These are powerful and easy to write. The Ramen worm, for example, uses known system exploits to gain root access to vulnerable Linux servers and then employs ELF binaries and shell scripts to find other servers to infect.

The number of Linux threats has increased slowly. But they have grown more sophisticated. Multi.Etapux, for example, is a complex polymorphic virus which uses entry-point obfuscation to evade detection. It is also able to infect Windows 32 PE files as well as Linux ELF files. There are also Linux threats which exploit system vulnerabilities in order to attack. The Slapper worm, for example, utilizes a known vulnerability in the Open SSL library to infect Apache web servers. And the Adore worm uses a random port scan to identify systems that have a root access vulnerability in the BIND.DNS service on Linux servers.

Linux virus writers (and all other Unix flavours) face quite a few difficulties. For example, to modify ELF binaries, it's necessary to have root administration rights. And there may be specific dependencies related to specific Linux versions, making it hard for a virus writer to create a single virus for all implementations of Linux. But such obstacles can be overcome. The use of scripts, for example, makes a virus or worm less dependent on a specific Linux distribution. One of the early Linux viruses, Staog, uses a vulnerability to get root access to the system. Slapper uploads itself as a uuencoded source file. It then decodes and compiles the source into an ELF binary, re-compiling itself using a local copy of the 'C' compiler.

So why hasn't there been more malicious code for Linux? The dominance of Windows, particularly as a desktop operating system, is the key reason. Malware authors want the biggest possible bang for their buck so they target the operating system that is most widely used. Linux simply isn't widespread enough to be a serious target - at the moment.

That said, the use of Linux as an operating system is increasing, partly due to the popularity of Linux distributions such as RedHat and SuSE. Currently there are 712 pieces of malware that target Linux. This number will almost certainly increase as the popularity of Linux itself increases.

And one other thing to consider - more and more organizations are starting to use Linux alongside Windows, with a Linux file-server storing Windows applications. These files can be infected at desktop level, with infected files then being stored on the server. Organizations must therefore accept the necessity of scanning the Linux server to protect against malicious code attacks.

[alkat]

Originariamente inviato da mcz

Quello che più lascia pensare non è tanto il virus in se stesso, quanto il fatto che te lo scarichi da un mirror (non si sa se ufficiale o no) di Mozilla scaricando il programma. Sarebbe interessante sapere come vi è entrato.

E sarebbe anche interessante sapere quanto sicuri sono in generale i mirrors delle varie distribuzioni. Per quel che ne so io qualsiasi imbecille può proporsi come mirror e magari venire accettato (spero naturalmente di sbagliarmi).

dall'alto della mia ignoranza, concordo su questo punto.

mi è sembrato proprio questo l'aspetto più preoccupante. la localizzazione coreana di mozilla interesserà al massimo poche migliaia di utenti, ma pensate che divertente se qualcuno sfruttasse lo stesso trucchetto per inserirlo nella prossima release di un qualche programma molto usato.

immaginate se qualcuno riuscisse ad infilare un bel virus in uno dei mirror ufficiali di OOo quando uscirà la versione 2.0... sarebbe un bel disastro! Certo, non si propagherebbe alla velocità dei virus per win (anzi forse non potrebbe nemmeno autoreplicarsi e diffondersi sfruttando la macchina infetta e quindi a rigor di logica non sarebbe nemmeno un virus) però "ungerebbe" un bel po' di utenti e non tutti sarebbero così accorti da controllare il programma (io non lo saprei fare ad esempio) né lo installerebbero solo per l'utente senza privilegi (io OOo lo installo per tutto il sistema).

.a.

.a.

[vortex87]

Il layout

[maiosyet_2]

Originariamente inviato da Guglie
non so cosa siano i "binari ELF", ma fin qui posso ritenerlo possibile

Executable and Linking Format. E' il formato binario di Linux che ha sostituito l'a.out...

[U-bahn]

Originariamente inviato da vortex87
Il layout

[OT]chiedo scusa, non l'ho fatto apposta..volevo cliccare su anteprima ed invece sono andato su invia
intanto vorrei ringraziare andy caps per aver rimediato

[Mutato]

Originariamente inviato da mcz
E sarebbe anche interessante sapere quanto sicuri sono in generale i mirrors delle varie distribuzioni. Per quel che ne so io qualsiasi imbecille può proporsi come mirror e magari venire accettato (spero naturalmente di sbagliarmi).

E le varie repositories aggiuntive delle distribuzioni (penso a apt per Suse, Fedora, ecc.)???

Basta operare un MD5 sul pacchetto che si intende installare confrontandolo con quelli del repository ufficiale.

[alkat]

Originariamente inviato da Mutato
Basta operare un MD5 sul pacchetto che si intende installare confrontandolo con quelli del repository ufficiale.

i codici md5sum però non sono sempre presenti...


.a.