LINUX.ORG.RU
ФорумTalks

Появился под Linux вирус - OrBit

 , , ,


0

2

It-компания Intezer Labs опубликовала отчёт о новом вирусе для платформы Linux, которому присвоено название OrBit. Данный вирус успешно похищает информацию с заражённых ПК, и с трудом поддаётся обнаружению при сканировании антивирусным ПО.

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD, причём использует сразу два способа загрузки вредоносной библиотеки: добавляя общий объект в файл конфигурации загрузчика или внося в него модификации напрямую.

OrBit способен перехватывать управление ключевыми функциями системы, вести сбор и запись данных аккаунтов, а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам. Чтобы избежать обнаружения, хакерское ПО маскируется под системные службы, становясь почти невидимым для антивирусов, коих под linux нет.

Разработчики систем защиты уже начали вносить OrBit в базы данных своих приложений. Реакция разработчиков программного обеспечения по вопросу закрытия уязвимости и номер CVE не сообщаются.

Пруфлинк

Перемещено shell-script из security

P.S ждём изобретения под Linux систем LinLock.

ipkirill21x ()

OrBit способен перехватывать управление ключевыми функциями системы, вести сбор и запись данных аккаунтов, а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам. Чтобы избежать обнаружения, хакерское ПО маскируется под системные службы, становясь почти невидимым для антивирусов, коих под linux нет.

молодцы, стараются, в отличие от разработчиков дистрибутивов, занимающихся перестановкой кроватей

kott ★★★★★ ()

Наконец-то! Линукс становится все более и более популярен и под него даже стали писать вирусы! Браво!

Теперь остается нанять нормальную армию программистов и портировать на него всю ту кучу проприетарного софта. Потому что в этом нет абсолютно никакой трудности, кроме времени и денег.

w1nner ★★★★★ ()

с трудом поддаётся обнаружению при сканировании антивирусным ПО.

…которого нет.

Разработчики систем защиты уже начали вносить OrBit в базы данных своих приложений.

Которых нет.

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD

Unlike other threats that hijack shared libraries by modifying the environment variable LD_PRELOAD, this malware uses 2 different ways to load the malicious library.

А вот про то, как он распространяется и получает рута, в заметке ни слова. А без рута сей вирус ну никак не может пропатчить загрузчик и libc.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

А без рута сей вирус ну никак не может пропатчить загрузчик и libc.

Ещё не очень понятно, почему его найти типа не могут. Если он крадёт данные, то очевидно для отправки их куда-то по сети, а значит, этот момент можно зафиксировать и сдампить траффик.

sT331h0rs3 ★★★★★ ()

антивирусов, коих под linux нет

ещё один

kott ★★★★★ ()
Ответ на: комментарий от kott

Цитата из новости:

Чтобы избежать обнаружения, хакерское ПО маскируется под системные службы, становясь почти невидимым для антивирусов, коих под linux нет.

P.S. Это был толстый намёк на желтизну на главной.

Aceler ★★★★★ ()

Как обычно на арм архитектуре можно не опасаться

burato ★★★★★ ()
Ответ на: комментарий от sT331h0rs3

Да, и патченный libc это так неочевидно для антивирусного ПО.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

И для меня загадка как они умудряются запустить сторонний сервис без прав selinux, и даже если прилепят нестандартному порту политику ssh_port_t им еще придется как минимум firewall дергать …

mx__ ★★★★★ ()

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD
антивирусов, коих под linux нет

Бан ТСа за фейкньюс уже предлагали?

gremlin_the_red ★★★★★ ()
Ответ на: комментарий от kott

Причем тут привилегированные ? В новости про обратку ни слова …

а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам.

хотя это еще нужно поглядеть как это работает через proxy …

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

там вообще почти ни слова про работу, я отвечал на про selinux и фаеволл

да, в оригинале подробности хоть есть

kott ★★★★★ ()
Последнее исправление: kott (всего исправлений: 1)

Давай подробности

1. Где исходники?

2. Как скомпилять?

3. Как запускать?

4. Работает ли без рута?

ya-betmen ★★★★★ ()

Вобщем, я давно стал подозревать, что с увеличением народонаселения, использующего Линукс - будет расти и популяция вирусописателей под эту платформу. Сначала по привычке установил ClamAV - не обновляет вирусные базы. Потом вспомнил про санкции - и удалил. Установил DrWeb for Linux, 30-дневную лицензию. Неплохо, даже очень. В Линуксе ничего не нашел, зато из архивов и из .wine - повыковыривал аж 14 троянов.
«А он хорош», - подумал я, и отложил покупку на будущее...

cadaber ★★ ()

с трудом поддаётся обнаружению при сканировании антивирусным ПО

становясь почти невидимым для антивирусов, коих под linux нет

Как страшно жЫть. А установить его как? Снова от рута конпелять?

Gonzo ★★★★★ ()
Ответ на: комментарий от Aceler

Ну как бы никто не запрещает вирусы для онтопика ловить антивирусом в среде оффтопика.

А антивирусов, специализирующихся на онтопике и его особенностях, действительно не водится. Есть только инструменты для работы с вирусами оффтопика, коими является тот же нод или доктор.

ipkirill21x ()
Последнее исправление: ipkirill21x (всего исправлений: 2)

вести сбор и запись данных аккаунтов, а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам

А нахрен им нужна жалкая тыщонка-другая машин, под управлением нервных параноидных пользователей, которые, чуть что, могут всё снести и накатить заново?

w201403 ()

Как заразить компьютер с виндой знаю,достаточно вставить флешку с вирусами или скачать зараженный файл. Как подцепить вирус на Linux понятия не имею,может кто научит?Где его взять и как запустить?Специально что-ли?

Vadim59 ()
Ответ на: комментарий от ipkirill21x

ну, то есть, «он-лайн» антивирусов под онтопик не существует? а если и существует, то в их базах ни одной сигнатуры руткитов?

kott ★★★★★ ()
Ответ на: комментарий от Psilocybe

где антивирус скачать ломаный?

А нафига? Чтобы висел в трее и жужжал, чисто для успокоения нервов?
1. Скачал, проверил, забыл.
2. Через месяц мания проснулась (или неудалённый DrWeb напомнил) - удалил, и переходим к п.1... =)

cadaber ★★ ()
Ответ на: комментарий от AleksK

Это были инструменты по обслуживанию оффтопика под онтопиком. На постоянную комплексную систему защиты «internet security» или «total security» оно не было похоже никогда.

ipkirill21x ()
Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от lockie

Под Gentoo пойдёт?

Ни исходников, ни лицензии…

Ебилды есть?

Как тут ебилд писать?

Shushundr ()
Ответ на: комментарий от AleksK

Ну в win-понимании, конечно нет.
А много ты их скачивал и запускал из совсем левых источников да ещё с правами рута?

Дык, в том-то и дело. В винде - все с правами администратора, поэтому и бардак такой. =) В линуксе под рутом работает только полный дебил или отморозок, да и то, только в том случае, если специально этого хочет. В обычном варианте установки такой возможности не выдают. Разве что в Slackware, там реально можно рутом в сеть выйти без напряга.

cadaber ★★ ()
Последнее исправление: cadaber (всего исправлений: 2)

В ОП отсутствует важная информация, на каком ЯП написана софтина и под какой лицензией) Я согласен ставить только С под GPL.

goingUp ★★★★★ ()
Ответ на: комментарий от w1nner

Потому что в этом нет абсолютно никакой трудности, кроме времени и денег.

Времени уйдёт больше возраста Вселенной :)

yu-boot ★★ ()
Ответ на: комментарий от lockie

изменяя переменную среды LD_PRELOAD

Где именно он её изменяет? В каком файле/процессе/…? Т.е. куда смотреть, чтобы обнаружить заражение?

Под Gentoo пойдёт? Ебилды есть?

Ору. :))))

dimgel ★★★★ ()
Последнее исправление: dimgel (всего исправлений: 1)
Ответ на: комментарий от w201403

лорчую, мало того что сама новость пахнет желтизной, так еще и вирусы под linux были всегда. Правда нужны они были для атаки именно на серверную инфраструктуру

Unixson ()
Ответ на: комментарий от Unixson

лорчую, мало того что сама новость пахнет желтизной, так еще и вирусы под linux были всегда. Правда нужны они были для атаки именно на серверную инфраструктуру

Ну так многие всерьез верят, что их на пингвине не достанут злоумышленники.

ipkirill21x ()
Ответ на: комментарий от Aceler

Открой для себя AIDE, например.

Опять-таки не совсем антивирус и не совсем антивирусные цели. Цитата из ArchWiki, полученная из Google Translate: AIDE выполняет только проверку целостности файлов. Он не проверяет наличие руткитов и не анализирует лог-файлы на наличие подозрительной активности.

ipkirill21x ()
Ответ на: комментарий от w1nner

Вот этого как раз не надо. Деньги должны идти в разработку свободного софта. В чём вообще смысл иметь ещё одну запускалку проприетарщины, только на другом ядре?

rekket ()
Ответ на: комментарий от rekket

Вот этого как раз не надо. Деньги должны идти в разработку свободного софта. В чём вообще смысл иметь ещё одну запускалку проприетарщины, только на другом ядре?

В том, чтобы уменьшать процент проприетарщины на железе. Одна история, когда проприетарно все, начиная от прошивки железа и заканчивая обозревателем, другое дело, когда проприетарна только пара программ.

ipkirill21x ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)