Рекламный блок.

Ситуации, когда на публичных серверах выкладывались версии зараженных бинарных или исходных файлов возникали уже не раз. Теперь подобная участь постигла mozilla.org.

Зараженными оказались дистрибутивы Mozilla и Thunderbird для Linux c корейской локализацией. Файлы mozilla-installer-bin из mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz и mozilla-xremote-client из thunderbird-1.0.2.tar.gz были инфицированы вирусом RST.b.

Virus.Linux.RST.b ищет исполняемые ELF-файлы в текущем каталоге и каталоге /bin и заражает их. При заражении записывается в середину файла (в конец секции кода, сдвигая вниз все остальные секции файла). Также содержит бэкдор-процедуру, которая скачивает специальный скрипт-файл с сайта http://ns1.xoasis.com/~telcom69 и выполняет присутствующие в скрипте команды. Для выполнения этих команд используется стандартный shell.

После троекратного уведомления mozilla.org файлы так и не были удалены, сообщает Лаборатория Касперского.

Virus.Linux.RST.a

Linux вирус, который также открывает удаленный доступ к локальному компьютеру. Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора root.

Вирус заражает все бинарные Linux файлы в текущем каталоге и в каталоге "/bin". Он также сканирует данные для первой сетевой карты 'eth0' также как это делает программа соединения по протоколу PPP при первом соединении. Таким образом, в тот момент, когда приходит специальный пакет, вирус открывает для атакующего управление локальной системой. Для этого запускается оболочка командного процессора с правами администратора.

Червь также пытается создать два новых устройства в каталоге "/dev". Имена устройств: "/dev/hdx1" и "/dev/hdx2". Он пытается получить доступ к web странице сервера "ns1.xoasis.com".

Технические детали:

При заражении файлов вирус записывается в их середину. Для этого он увеличивает размер секции данных и перенастраивает адреса других секций. Затем он переустанавливает адрес точки входа на свой код. Вирус использует антиотладочные приемы. Если текущий процесс трассируется, то вирус завершает работу программы. Если трассировка не обнаружена, то вирус пытается заразить все файлы в текущем каталоге. После этого он пытается заразить все файлы в каталоге "/bin", который доступен для записи только для пользователя с максимальными привилегиями. Вирус не пытается использовать брешь в системе безопасности операционной системы для того, чтобы получить доступ к защищенным файлам.

Backdoor компонента вируса пытается создать два новых устройства с именами: "/dev/hdx1" и "/dev/hdx2". Если устройства созданы, то она проверяет существование двух стандартных сетевых интерфейсов 'eth0' или 'ppp0', и пытается перевести их в состояние "promiscuous". Backdoor компонента пытается также создать новый сокет EGP (Exterior Gateway Protocols) и перевести его в режим прослушивания сети.

Как только специальный EGP IP пакет приходит, вирус проверяет байт по смещению 23 внутри его данных. Если байт равен 0x11, то вирус проверяет еще 3 байта пароля по смещению 0x2A в буфере. Если оба условия выполнились, вирус проверяет управляющий байт. Управляющий байт может быть равен 1 или 2. Если значение байта 1 то вирус запускает командный процессор (файл "/bin/sh") что позволит атакующему получить удаленный доступ к системе.

Вирус содержит две текстовые строки, которые не используются в коде.

Строки текста: "snortdos" и "tory".

http://www.securitylab.ru

Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора root.

Снова вирусы, рассчитанные на некомпетентных пользователей, только в отличие от аттачментов, на которые ловились пользователи аутлука, теперь поймают тех, кто запускает броузер от рута.
По крайней мере хорошо, что это не червь.

да я вот имею привычку на раутере сидеть под root но браузера у меня тама нету

Добавлено в [mergetime]1127392760[/mergetime]
или есть, только я об этом не знаю

Dekker
Ну насколько я понимаю Mozilla это графический браузер. А ты же наверняка имеешь shell доступ каким нибудь putty?

Снова вирусы, рассчитанные на некомпетентных пользователей, только в отличие от аттачментов, на которые ловились пользователи аутлука, теперь поймают тех, кто запускает броузер от рута.

Дык у тех кто не под руутом только папки пользователя запорет. Так что компетентность тут тоже не поможет.

Пэтро

Дык у тех кто не под руутом только папки пользователя запорет. Так что компетентность тут тоже не поможет.

вирус заражает именно бинарные выполняемые файлы.
Которые в хоуме пользователей не держаться.
Они находятся в /bin/, /usr/bin, /usr/local/bin, /sbin/, /usr/local/sbin и т.д.
Для записи доступны только root или пользователям из группы bin, в которой по-умолчанию тоже только root.

Которые в хоуме пользователей не держаться.

Не всегда. Насколько я знаю. По вашему получается что юзер вообще свои исполняемые файлы в своих папках держать не может. А только если юзер ему положит? А если мне как юзеру нужно установить новую программу, я что буду ждать администратора? Возьму и положу в своей папке.

А то что вы говорите это в идеале так бывает.

Пэтро

Не всегда. Насколько я знаю. По вашему получается что юзер вообще свои исполняемые файлы в своих папках держать не может

Почему же, может, но как правило не держит.

А если мне как юзеру нужно установить новую программу, я что буду ждать администратора?

Учитывая очень ограниченные права обычного пользователя в unix-системах как правило так и получается.
В худшем случае заражены будут именно программы, принадлежащие данному пользователю. Его хоум при этом никуда не денется.

Зараженными оказались дистрибутивы Mozilla и Thunderbird для Linux c корейской локализацией.

прочитайте плз внимательно особенно предпоследнее слово
и успокойтесь господа

Eugene
так то понятно, китайцев то больше, следовательно отдача будет больше