Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Mozilla для Linux с вирусом RST.b в комплекте
Rumata | Профиль
Дата 22 Сентября, 2005, 16:15
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Ситуации, когда на публичных серверах выкладывались версии зараженных бинарных или исходных файлов возникали уже не раз. Теперь подобная участь постигла mozilla.org.

Зараженными оказались дистрибутивы Mozilla и Thunderbird для Linux c корейской локализацией. Файлы mozilla-installer-bin из mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz и mozilla-xremote-client из thunderbird-1.0.2.tar.gz были инфицированы вирусом RST.b.

Virus.Linux.RST.b ищет исполняемые ELF-файлы в текущем каталоге и каталоге /bin и заражает их. При заражении записывается в середину файла (в конец секции кода, сдвигая вниз все остальные секции файла). Также содержит бэкдор-процедуру, которая скачивает специальный скрипт-файл с сайта http://ns1.xoasis.com/~telcom69 и выполняет присутствующие в скрипте команды. Для выполнения этих команд используется стандартный shell.

После троекратного уведомления mozilla.org файлы так и не были удалены, сообщает Лаборатория Касперского.

Virus.Linux.RST.a

Linux вирус, который также открывает удаленный доступ к локальному компьютеру. Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора root.

Вирус заражает все бинарные Linux файлы в текущем каталоге и в каталоге "/bin". Он также сканирует данные для первой сетевой карты 'eth0' также как это делает программа соединения по протоколу PPP при первом соединении. Таким образом, в тот момент, когда приходит специальный пакет, вирус открывает для атакующего управление локальной системой. Для этого запускается оболочка командного процессора с правами администратора.

Червь также пытается создать два новых устройства в каталоге "/dev". Имена устройств: "/dev/hdx1" и "/dev/hdx2". Он пытается получить доступ к web странице сервера "ns1.xoasis.com".

Технические детали:

При заражении файлов вирус записывается в их середину. Для этого он увеличивает размер секции данных и перенастраивает адреса других секций. Затем он переустанавливает адрес точки входа на свой код. Вирус использует антиотладочные приемы. Если текущий процесс трассируется, то вирус завершает работу программы. Если трассировка не обнаружена, то вирус пытается заразить все файлы в текущем каталоге. После этого он пытается заразить все файлы в каталоге "/bin", который доступен для записи только для пользователя с максимальными привилегиями. Вирус не пытается использовать брешь в системе безопасности операционной системы для того, чтобы получить доступ к защищенным файлам.

Backdoor компонента вируса пытается создать два новых устройства с именами: "/dev/hdx1" и "/dev/hdx2". Если устройства созданы, то она проверяет существование двух стандартных сетевых интерфейсов 'eth0' или 'ppp0', и пытается перевести их в состояние "promiscuous". Backdoor компонента пытается также создать новый сокет EGP (Exterior Gateway Protocols) и перевести его в режим прослушивания сети.

Как только специальный EGP IP пакет приходит, вирус проверяет байт по смещению 23 внутри его данных. Если байт равен 0x11, то вирус проверяет еще 3 байта пароля по смещению 0x2A в буфере. Если оба условия выполнились, вирус проверяет управляющий байт. Управляющий байт может быть равен 1 или 2. Если значение байта 1 то вирус запускает командный процессор (файл "/bin/sh") что позволит атакующему получить удаленный доступ к системе.

Вирус содержит две текстовые строки, которые не используются в коде.

Строки текста: "snortdos" и "tory".

http://www.securitylab.ru



____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
10/59560   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
alexk | Профиль
Дата 22 Сентября, 2005, 16:26
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Цитата
Он позволяет атакующему получить управление инфицированной системой в том случае, если вирус запущен пользователем с правами системного администратора root.

Снова вирусы, рассчитанные на некомпетентных пользователей, только в отличие от аттачментов, на которые ловились пользователи аутлука, теперь поймают тех, кто запускает броузер от рута.
По крайней мере хорошо, что это не червь.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
2/13986   
Rumata | Профиль
Дата 22 Сентября, 2005, 16:39
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



да я вот имею привычку на раутере сидеть под root но браузера у меня тама нету biggrin.gif

Добавлено в 16:39
или есть, только я об этом не знаю


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
1/59560   
Пэтро | Профиль
Дата 22 Сентября, 2005, 18:30
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Dekker
Ну насколько я понимаю Mozilla это графический браузер. А ты же наверняка имеешь shell доступ каким нибудь putty?


Цитата
Снова вирусы, рассчитанные на некомпетентных пользователей, только в отличие от аттачментов, на которые ловились пользователи аутлука, теперь поймают тех, кто запускает броузер от рута.


Дык у тех кто не под руутом только папки пользователя запорет. Так что компетентность тут тоже не поможет.
PMEmail Poster
1/20840   
alexk | Профиль
Дата 22 Сентября, 2005, 18:41
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Пэтро
Цитата
Дык у тех кто не под руутом только папки пользователя запорет. Так что компетентность тут тоже не поможет.

вирус заражает именно бинарные выполняемые файлы.
Которые в хоуме пользователей не держаться.
Они находятся в /bin/, /usr/bin, /usr/local/bin, /sbin/, /usr/local/sbin и т.д.
Для записи доступны только root или пользователям из группы bin, в которой по-умолчанию тоже только root.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
2/13986   
Пэтро | Профиль
Дата 22 Сентября, 2005, 18:53
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
Которые в хоуме пользователей не держаться.


Не всегда. Насколько я знаю. По вашему получается что юзер вообще свои исполняемые файлы в своих папках держать не может. А только если юзер ему положит? А если мне как юзеру нужно установить новую программу, я что буду ждать администратора? Возьму и положу в своей папке.

А то что вы говорите это в идеале так бывает.
PMEmail Poster
1/20840   
alexk | Профиль
Дата 22 Сентября, 2005, 19:04
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Пэтро
Цитата

Не всегда. Насколько я знаю. По вашему получается что юзер вообще свои исполняемые файлы в своих папках держать не может

Почему же, может, но как правило не держит.
Цитата

А если мне как юзеру нужно установить новую программу, я что буду ждать администратора?

Учитывая очень ограниченные права обычного пользователя в unix-системах как правило так и получается.
В худшем случае заражены будут именно программы, принадлежащие данному пользователю. Его хоум при этом никуда не денется.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
Eugene | Профиль
Дата 22 Сентября, 2005, 19:30
Quote Post



Юджин
Group Icon

Группа: VIP
Сообщений: 2047
Регистрация: 12.08.03
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


Цитата
Зараженными оказались дистрибутивы Mozilla и Thunderbird для Linux c корейской локализацией.

прочитайте плз внимательно особенно предпоследнее слово
и успокойтесь господа wink.gif


____________________
Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
PMEmail Poster
Rumata | Профиль
Дата 22 Сентября, 2005, 19:57
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Eugene
так то понятно, китайцев то больше, следовательно отдача будет больше biggrin.gif


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0774 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top