Эпидемия вируса в скайпе?

1

1

Последние 3 дня творится какая-то фигня.

Отец получил от знакомого сообщение в скайпе, вместе с файлом (якобы картинка), имеющего двойное расширение (как это ново, ага) .jpg.exe. Отображение расширений для зарегистрированных типов файлов отключено, да.

Механизм распространения гадости приблизительно такой (я не аналитик, и такие вещи не очень хорошо знаю): изначально кто-то заразился (может схожим образом, а может и нет), распространяемый файл является загрузчиком (77-80 кбайт), который запускается как служба, загружает ещё 3 файла. Все файлы прячутся в C:/users/username/appdata/local/temp, один прячется сразу в C:/windows/temp/, и друг друга прикрывают (т.е. файл-вирус удалить сразу не удаётся, я использовал unlocker). Оттуда они прописываются в автозагрузку (3 элемента). Последняя ступень и главная причина всей этой фееричности - это bitcoin-miner, производитель ufasoft, который грузит проц на 100% (от чего комп дико тормозит), причём его имя генерируется случайным образом (длинная абракадабра, порядка 10-12 символов), но генерируется только один раз (т.е. после удаления из автозапуска и удаления самого файла он создаётся снова, но с тем же именем).

Один файл получает доступ к API skype, и ведёт от имени новой жертвы свою рассылку (текст и передача файла).

Гадость вычистить несложно, но муторно, благо вся гадость прячется преимущественно в темпе, а любой автозапуск из темпа - потенциальный вредитель.

В общем, это я к чему. Судя по ufasoft, этот самый bitcoin-miner имеет исходники и для линукса. А учитывая наличие скайпа в линуксе, который тоже не без дыр (ms же), его API может быть использовано аналогично для рассылки; вряд ли у многих стоит noexec на /home => запустить какой-нибудь .sh вполне возможно, и даже не потребуется рутовых прав, насколько я понимаю.

Будьте бдительны.

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

Ссылка

←	А оказывается LightZone восстал из ада, и теперь СПО!

Mesa и fbdev

→

← 1 2 3 4 5 6 7 →

Ответ на: комментарий от GAMer 29.01.13 08:34:34 MSK

в linux консоли символ текста задом наперед игнорируется

cvs-255 ★★★★★
(29.01.13 10:27:02 MSK)
Последнее исправление: cvs-255 29.01.13 10:27:14 MSK (всего исправлений: 1)

Ответ на: комментарий от derlafff 29.01.13 09:17:17 MSK

Не догнал. Для запуска всякой полусомнительной фигни есть виртуалки. Ну или из /Files который временно можно перемонтировать с exec.

Я вообще в хомяке ничего не держу, а всякие запускалки лежат в /Files, который на другой партиции.

partyzan ★★★
(29.01.13 10:28:34 MSK)

Ответ на: комментарий от ekzotech 29.01.13 10:12:42 MSK

разрешил левому софту доступ?

А левый софт не может ли имитировать нажатие кнопки на клаве для подтверждения? В этом случае пользователь и не заметит, что там такое мелькнуло на экране.

unC0Rr ★★★★★
(29.01.13 10:30:13 MSK)

Ответ на: комментарий от alozovskoy 29.01.13 10:24:11 MSK

Пойдут в жаббер, начнут слать вирусню в жаббере. Продолжать? Только вот в текущем исполнении скайп лучше жаббера.

Mitsumi
(29.01.13 10:30:17 MSK)

Ссылка

Ответ на: комментарий от partyzan 29.01.13 10:28:34 MSK

Для запуска всякой полусомнительной фигни есть виртуалки

Код, что ты пишешь — полусомнительная фигня?

derlafff ★★★★★
(29.01.13 10:32:28 MSK)
Последнее исправление: derlafff 29.01.13 10:32:34 MSK (всего исправлений: 1)

tl;dr, виндопроблемы, ненужно.

~~AlexCones~~ ★★★
(29.01.13 10:33:45 MSK)

Ссылка

Пересадить отца под обыного пользователя?
Запретить исполнятся файлам из домашнего каталога пользователя.

leonidko ★★★★
(29.01.13 10:36:30 MSK)

Ответ на: комментарий от alexnorton 29.01.13 09:27:51 MSK

man Morrowind

ados ★★★★★
(29.01.13 10:41:45 MSK)

Ссылка

Ответ на: комментарий от valentin_v13 29.01.13 09:24:16 MSK

Чтобы пользователи не спрашивали «Ой, а почему у картинки сзади какие-то непонятные некрасивые букафки, а когда я их стираю ничего не работает?!»

А как же они во времена windows 3.x жили?

cvs-255 ★★★★★
(29.01.13 10:43:40 MSK)

Ответ на: комментарий от Deleted 29.01.13 09:29:51 MSK

vim u202E

<202e>012345

cat u202E

012345

cvs-255 ★★★★★
(29.01.13 10:45:51 MSK)
Последнее исправление: cvs-255 29.01.13 10:47:07 MSK (всего исправлений: 1)

Ссылка

Ответ на: Касперский, перелогинься от Turbid 29.01.13 09:50:22 MSK

Сейчас десктопов (не говоря уже о всем остальном) на linux в 100500 раз больше чем в 1995 на DOS/Win95, однако, тогда под эти ОС опасных вирусов было тьма.

Тогда вирусы были другие. Их целью было подшутить/надругаться над пользователем. О рентабельности этой чуши никто не думал разумеется. Сейчас у дряни явно коммерческая направленность. Зомби сети для накручивания рейтингов в соцсетях, спам сети, кейлоггеры. Всё это пишется на заказ, на всём этом делаются деньги, так что вопрос о рентабельности разработки вируса для Линукс поднимался не один раз.

lenin386 ★★★★
(29.01.13 10:47:05 MSK)

Ответ на: комментарий от lenin386 29.01.13 10:47:05 MSK

И что рентабельней поломать в поисках нужной информации, десятки рабочих станций на Windows, или один сервер Linux?

Turbid ★★★★★
(29.01.13 10:49:35 MSK)

Ответ на: комментарий от derlafff 29.01.13 10:32:28 MSK

В хомяке не нужно держать важные вещи вроде кода по работе. как бы.

хотя твой кавычкокод в хомяке только и держать!11

cdshines ★★★★★
(29.01.13 10:52:10 MSK)

Ответ на: комментарий от ekzotech 29.01.13 09:34:26 MSK

В большинстве случаев у пользователей есть авторан.

В большинстве случаев у пользователя нет авторана с флешки. Авторан с флешки только у дибилов, отключивших обновления венды. Проходил патч, вырезавший авторан с флешки, года 2 назад, по-моему.

lenin386 ★★★★
(29.01.13 10:52:34 MSK)

Ответ на: комментарий от cdshines 29.01.13 10:52:10 MSK

В хомяке не нужно держать важные вещи вроде кода по работе. как бы.

А где еще держать и запускать код? Вот пишешь ты программу. Надо ее оттестить. Как ты это предлагаешь?

cvs-255 ★★★★★
(29.01.13 10:53:25 MSK)

Ответ на: комментарий от cdshines 29.01.13 10:52:10 MSK

В хомяке не нужно держать важные вещи вроде кода по работе. как бы.

А где их тогда держать?

derlafff ★★★★★
(29.01.13 10:54:00 MSK)

Ссылка

Ответ на: комментарий от ekzotech 29.01.13 08:38:35 MSK

Вообще, в идеале было бы клёво, чтоб этого владельца биткоин-зомби-сетки забанили и обнулили всё «намайненное» бабло.

Даааа ? А как быть с одминами, которые намайнили бабло за счёт организации, в которых трудятся, просто потихоньку поставив всем майнер ? Понимаешь в чём дело. Если майнить биткойны честно, на своей технике, за своё электричество, то будешь только в минусе. Соответственно, почти все биткойны намайнены тем или иным образом нечестно - с помощью воровства электричества и выч. ресурсов. Предлагаешь забанить все биткойны ?

lenin386 ★★★★
(29.01.13 10:57:57 MSK)

Ответ на: Касперский, перелогинься от Turbid 29.01.13 09:50:22 MSK

Для написания вируса под ДОС знаний нужно на порядок меньше, чем под современные системы. Настоящие вин вирусы появились далеко не сразу.

greenman ★★★★★
(29.01.13 10:59:21 MSK)

Ссылка

Ответ на: комментарий от Turbid 29.01.13 10:49:35 MSK

И что рентабельней поломать в поисках нужной информации, десятки рабочих станций на Windows, или один сервер Linux?

А почему ты думаешь, что линукс серверы не ломают ? Их отлично ломают, и почти все спам сети состоят из ломаных линукс серверов. Просто их ломают не через скайп, потому что, как ты наверное догадываешься, за сервером редко кто сидит и трепется с тёлочками.

lenin386 ★★★★
(29.01.13 11:00:30 MSK)
Последнее исправление: lenin386 29.01.13 11:01:09 MSK (всего исправлений: 1)

Ответ на: комментарий от unC0Rr 29.01.13 10:30:13 MSK

А левый софт не может ли имитировать нажатие кнопки на клаве для подтверждения? В этом случае пользователь и не заметит, что там такое мелькнуло на экране.

Я не в курсе. Суть в том, что по какой-то неведомой причине этот «рассыльщик» глюкнул, выдал ошибку, в результате чего в скайпе наверху появилось окошко «разрешить доступ 731333.exe?». И появилось это когда я подключился. Аура или ещё что - я хз. Но именно так спалилось. А до этого, по заявлению пользователей, такой надписи не было раньше.

ekzotech ★★★★
(29.01.13 11:04:56 MSK) автор топика

Ссылка

Ответ на: комментарий от cvs-255 29.01.13 10:53:25 MSK

Ну не знаю, если noexec на хомяке, то, очевидно, где-то в другом месте?

cdshines ★★★★★
(29.01.13 11:06:28 MSK)

Ответ на: комментарий от leonidko 29.01.13 10:36:30 MSK

Пересадить отца под обыного пользователя?

Если это мне - отец на винде, и переезжать не хочет. Хотя 2 недели сидел на убунте.

Запретить исполнятся файлам из домашнего каталога пользователя.

Винда вряд ли такое умеет.

ekzotech ★★★★
(29.01.13 11:06:55 MSK) автор топика

1. скальп не нужен
2. Как оно автоматом сделает себе executable ?
P.S. тред не читал

i_gnatenko_brain ★★★★
(29.01.13 11:07:24 MSK)

Ответ на: комментарий от lenin386 29.01.13 10:52:34 MSK

Проходил патч, вырезавший авторан с флешки, года 2 назад, по-моему.

Хм, не слышал. У меня авторан выключен везде. И на всякий случай в венде всё открываю через ПКМ - «Открыть».

ekzotech ★★★★
(29.01.13 11:09:24 MSK) автор топика

Ссылка

Ответ на: комментарий от lenin386 29.01.13 10:57:57 MSK

Предлагаешь забанить все биткойны ?

Нет, только такие, кто через вирус. Поставленные админами - это одно дело, всё-таки. Это дело админа и директора фирмы - захочет, пусть разбирается. А когда массовая рассылка, да ещё с использованием уязвимостей.. Йайцы оторвать и делов.

ekzotech ★★★★
(29.01.13 11:11:17 MSK) автор топика

Кросплатформенные вирусы на API прикладных программ — это сильно. На своем компе скайп к чертям выпилен, файлообмен веду через почту/вк/дропбокс, для общения использую imo.im

Kor03d ★★
(29.01.13 11:12:40 MSK)

Ответ на: комментарий от cdshines 29.01.13 11:06:28 MSK

если noexec на хомяке

ну, нить была как раз о вопросе нужности noexec на хомяке

derlafff ★★★★★
(29.01.13 11:13:28 MSK)

Ссылка

Ответ на: комментарий от Kor03d 29.01.13 11:12:40 MSK

И да, желтизна в заголовке. Btw, скайп под линью свой API только при подтверждении пользователя предоставляет.

Kor03d ★★
(29.01.13 11:15:04 MSK)

как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

Отца-то? Просто вспомни, где он живет.

Igron ★★★★★
(29.01.13 11:15:46 MSK)

Ответ на: комментарий от i_gnatenko_brain 29.01.13 11:07:24 MSK

1. скальп не нужен

Уже обсуждалось и не раз.

2. Как оно автоматом сделает себе executable ?

Хз, мало ли.

И вообще, был же эксплойт на повышение прав, почему бы не запилить какую-нибудь такую лабуду?

И эта, всегда ли бит сбивается, когда файл передаётся?

// Диванный, да

ekzotech ★★★★
(29.01.13 11:15:50 MSK) автор топика

Ответ на: комментарий от cvs-255 29.01.13 10:43:40 MSK

А как же они во времена windows 3.x жили?

Пользователей win3,1 было на порядки меньше чем сейчас линуксоидов

DNA_Seq ★★☆☆☆
(29.01.13 11:17:46 MSK)

Ссылка

Ответ на: комментарий от Kor03d 29.01.13 11:12:40 MSK

Кросплатформенные вирусы на API прикладных программ — это сильно.

Ну про кроссплатформенные - хз, фактов нет. Но это же возможно в теории (а может и на практике). Ведь если клиенты виндовс - линукс могут общаться между собой, значит у них, как минимум, схожее API.

ekzotech ★★★★
(29.01.13 11:18:28 MSK) автор топика

Ссылка

Ответ на: комментарий от ekzotech 29.01.13 11:11:17 MSK

Нет, только такие, кто через вирус. Поставленные админами - это одно дело, всё-таки.

По мне, нет разницы.

Это дело админа и директора фирмы - захочет, пусть разбирается.

Директору делать больше нечего, кроме как за каждым гнусом следить, не подгадило ли оно где. На месте директора, обнаружив у себя в фирме биткойн майнеры, я был бы взбешён не меньше тебя. Но они в каждой второй конторе есть, я уверен в этом.

lenin386 ★★★★
(29.01.13 11:18:51 MSK)
Последнее исправление: lenin386 29.01.13 11:20:31 MSK (всего исправлений: 1)

Ответ на: комментарий от cdshines 29.01.13 11:06:28 MSK

И где же?

cvs-255 ★★★★★
(29.01.13 11:19:29 MSK)

Ссылка

Ответ на: комментарий от Kor03d 29.01.13 11:15:04 MSK

И да, желтизна в заголовке. Btw, скайп под линью свой API только при подтверждении пользователя предоставляет.

100% ?

ekzotech ★★★★
(29.01.13 11:19:57 MSK) автор топика

Ответ на: комментарий от lenin386 29.01.13 11:00:30 MSK

Linux-серверы редко ломают. Чаще всего ломают виндового пользователя, у которого есть админский доступ. Только недавно у клиента вычищал спамбота, реализованного в виде нескольких обфусцированных php-файликов в wordpress'е(к ним POST-запросами слались адреса и текст для спама). Как потом выяснил по логам, взлома сервера не было. Файлы были залиты одним из админов сайта через редактирование темы. Оказалось, пользователь на своей семёрочке максимальной поймал зловреда, который потырил его сохранённые пароли из браузера.

shell-script ★★★★★
(29.01.13 11:20:47 MSK)

Ответ на: комментарий от ZenitharChampion 29.01.13 08:36:42 MSK

Лучший майнер на CPU, обидно что из-за писателей вирусов его внесут в базы данных антивирусов.

Уже давно внесли, подобный троян ходил по нету год или два назад

nerfur ★★★
(29.01.13 11:25:09 MSK)

Ссылка

Ответ на: комментарий от ekzotech 29.01.13 11:15:50 MSK

И эта, всегда ли бит сбивается, когда файл передаётся?

Если он был запакован в tar.bz2, tar.gz, etc., то при распаковке он вполне может иметь executable

i_gnatenko_brain ★★★★
(29.01.13 11:25:37 MSK)

Ответ на: комментарий от Igron 29.01.13 11:15:46 MSK

Отца-то? Просто вспомни, где он живет.

Чинил-то не отцу (у него антивирус вроде всё сделал, а если нет - я уже знаю как лечить). А знакомым, это раз. А во вторых, я имел ввиду мудака, оформившего эту гадость.

ekzotech ★★★★
(29.01.13 11:26:44 MSK) автор топика

Ответ на: комментарий от shell-script 29.01.13 11:20:47 MSK

Linux-серверы редко ломают.

Редко по отношению к чему ? По отношнению к пользовательским писюкам - да. А вообще, достаточно часто их ломают, достаточно для создания спам сетей.

Чаще всего ломают виндового пользователя

Чаще. Но и ценность взлома пользовательской машинки ниже.

lenin386 ★★★★
(29.01.13 11:27:03 MSK)

Ответ на: комментарий от partyzan 29.01.13 09:03:04 MSK

У меня noexec на хомяке

И да, тебя это не спасет. Никто не мешает писать вирус на каком-нибудь баше/перле и приписывать запускатор в какой-нибудь .desktop в ~/.config/autostart

derlafff ★★★★★
(29.01.13 11:27:35 MSK)

Ответ на: комментарий от lenin386 29.01.13 11:18:51 MSK

На месте директора, обнаружив у себя в фирме биткойн майнеры, я был бы взбешён не меньше тебя.

Может и так. Просто 100% нагрузка на ЦП нонстоп - это адовые лаги. И хз, что будет с процем через 5-6 часов такой «работы». По идее не должно быть ничего, но это же вроде а-ля cpuburn выходит, нет?

Но они в каждой второй конторе есть, я уверен в этом.

Хз, я про установку на рабочие компы впервые слышу. А так слышал про «фермы» на радеонах.

ekzotech ★★★★
(29.01.13 11:28:36 MSK) автор топика

Ответ на: комментарий от ekzotech 29.01.13 11:06:55 MSK

Пересадить в аккаунт с меньшими правами. В винде это группа Пользователи. Если не ставить программы 100500 раз в день, то нормально. Для офисной работы, интрнетов, скайпика и игр с головой хватает. На учётку с админскими правами поставь пароль и объясни, что ей лучше не пользоваться кроме как для установки/обновления программ/драйверов/устройств.

Запретить исполнять файлы тебе поможет gpedit.msc. Хз, есть ли такое в семёрочке. В хрюшке было.

leonidko ★★★★
(29.01.13 11:28:49 MSK)

Ответ на: комментарий от i_gnatenko_brain 29.01.13 11:25:37 MSK

Если он был запакован в tar.bz2, tar.gz, etc., то при распаковке он вполне может иметь executable

Хз, я не хороший специалист в этом плане. Если всё так надёжно на архитектурном уровне - тогда бояться, конечно, нечего.

ekzotech ★★★★
(29.01.13 11:30:39 MSK) автор топика

Ссылка

Ответ на: комментарий от leonidko 29.01.13 11:28:49 MSK

Пересадить в аккаунт с меньшими правами. В винде это группа Пользователи. Если не ставить программы 100500 раз в день, то нормально.

Всегда так делаю. Тем не менее, винда слишком ущербна в плане безопасности. Всё равно зловреды ловятся, даже если внимательно смотришь, что за файл/процесс просит права админа.

Запретить исполнять файлы тебе поможет gpedit.msc. Хз, есть ли такое в семёрочке. В хрюшке было.

Спасибо за совет.

ekzotech ★★★★
(29.01.13 11:32:21 MSK) автор топика

скайп, виндоуз... Вы совсем охренели, ТС?

demidrol ★★★★★
(29.01.13 11:34:41 MSK)

Ответ на: комментарий от lenin386 29.01.13 11:27:03 MSK

Редко по отношению к чему ?

В принципе редко. Я же не сказал, реже, чем. Зачем ломать сервер, если легче сломать админа?

Но и ценность взлома пользовательской машинки ниже.

Ты не прочитал мой пост. Взломали виндового пользователя, имеющего админский доступ к linux-серверу(в моё конкретном примере только к CMS, но суть та же). Посмотри за последние пару лет новости о взломах серверов. Только одна - взлом вовремя не обновлённого wik-движка(за что админам надо руки оторвать). Всё остальное - уведённые ключи ssh или подобные кражи идентификационной информации с админской машины(читай, пользовательской). Сломать именно сервер сильно тяжелее.

shell-script ★★★★★
(29.01.13 11:35:22 MSK)