LINUX.ORG.RU
ФорумTalks

Кроссплатформенный вирус (Linux, Windows, MacOS)

 , , ,


2

3

Компания F-Secure сообщает об обнаруженном вирусе, способном поразить рабочую станцию, работающую под любой популярной ОС.

Сам вирус представляет из себя Java-апплет, который присутствует на пораженных сайтах. При этом апплет подписан самодельным сертификатом, что требует от пользователя согласиться с установкой подозрительного программного обеспечения.

После активации плагин определяет используемую пользователем ОС и в зависимости от этого скачивает с сайта злоумышленника исполняемый бинарный файл. Судя по всему, JAR-файл подготовлен с помощью Social-Engineer Toolkit.

Пользователям MacOS подготовлена сборка вируса лишь для платформы PowerPC, в связи с чем обладателям Intel-based систем для правильной работы вируса предлагается установить Rosetta.

Скачанные исполняемые файлы детектируются как:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

Подробности

Перемещено Aceler из security

★★★★★

Последнее исправление: CYB3R (всего исправлений: 9)

для правильной работы вируса предлагается установить Rosetta

… нечего сказать…

… да, видел пустой тред

dnoskov
()

Java плагин

adblock эти плагины блокирует?

teod0r ★★★★★
()

Только для *nix-ов и *nux-ов. Реквестирую ссылку для скачивания.

YYY
()
Ответ на: комментарий от trex6

По слухам в linux все работает изкоробки. Вот и дождались.

Просто люди, говорящие о безопасности linux забывают, что сейчас получение root'а почти никому и не надо. Ценное - пароли, файлы пользователя доступны и так.

dinn ★★★★★
()

А что, java applet может запускать другие исполнимые файлы? Как так?

firestarter ★★★☆
()

Вот так люди используют флеш без флешблока и всякие ява-плагины, а потом удивляются, что у них вирусы.

bloodredfrog ★★
()

Сам вирус представляет из себя Java плагин

Это неспортивно.

krakatau
()
Ответ на: комментарий от science

ну вот, а с отключенным плагином Java в фф - ЛОР не открывается

Java и JS — это не одно и то же. Первое ЛОРу не нужно вообще, без второго он работает.

bloodredfrog ★★
()
Ответ на: комментарий от science

4.2 С полностью отсутствующей в системе жабой, работает 99,9% страниц в этих ваших интернетах.

erfea ★★★★★
()
Ответ на: комментарий от erfea

У кого-то ещё есть жаба в браузерах?!

Даже не устанавливал. Жаба в браузере не нужна.

toney ★★★★★
()
Ответ на: комментарий от toney

В статье по ссылке есть адрес сервера злоумышленников и прочая информация, которая поможет скачать бинарник.

Ждем отважных людей, которые не побоятся запустить это в виртуалке и рассказать простым смертным подробности.

trex6 ★★★★★
() автор топика

Компания F-secure сообщает, что ею обнаружен вирус, который способен поразить рабочую станцию, работающую под любой популярной ОС.

Компания F-secure сообщает об обнаруженном вирусе, способном поразить рабочую станцию, работающую под любой популярной ОС.

Java плагин

Java-апплет

бинарный исполняемый файл

исполняемый бинарный файл

Судя по всему,

JAR-файл

Social-Engineer Toolkit (

Пользователям MacOS подготовлена сборка вируса лишь для платформы PowerPC

Скачанные исполняемые файлы детектируются как:

gatsu
()
Ответ на: комментарий от toney

Что может сделать бинарник без рута?

Стырить конфиденциальную инфу, кейлогить, etc.

erfea ★★★★★
()

Java-то хоть санова^w оракловая требуется?

Aceler ★★★★★
()

Скучно, эксплойт под устаревшую на пару версий тормозиллу был бы веселее. Под виндой таких полно, им хватает одного js.

И да, java в вебе нужна.

x3al ★★★★★
()

жаба не нужна

$ eix -I java
Совпадений не найдено.

xorik ★★★★★
()
Ответ на: комментарий от krakatau

krakatau, bloodredfrog, erfea

да, видно лор сам по себе не загружался, выключил плагин - не загружался, включил - загрузился, опять проверил - всё работает с выключенным плагином, который ставится если емержить «nsplugin» jdk

science ★★☆
()
Ответ на: комментарий от toney

Что может сделать бинарник без рута?

Если у юзера есть способ получить рута (su или sudo, не принципиально) и он юзает его в иксах, то повысить привилегии — дело времени.

x3al ★★★★★
()

Что, и даже не надо нажимать «я разрешаю плагину доступ к содержимому компьютера», или как там его? Не верю.

vurdalak ★★★★★
()

а куда идти-то? где взять вирус?

OldWiseCat ★★
()

вау, кроссплатформенный софт на жабе! сенсация

xtraeft ★★☆☆
()
Ответ на: комментарий от toney

Что может сделать бинарник без рута?

поюзать пользовательские данные.
зачем ему права рута, системные бинари воровать?:)

xtraeft ★★☆☆
()
Ответ на: комментарий от x3al

Скучно, эксплойт под устаревшую на пару версий тормозиллу был бы веселее. Под виндой таких полно, им хватает одного js.

ну, теоретически эти сплойты будут и для linux версии ff работать, только никто этим не заморачивается

xtraeft ★★☆☆
()
Ответ на: комментарий от bloodredfrog

Java и JS

что-то не разберусь, этот вирус через яваскрипты передаётся или нет? т.е мне есть о чём переживать, если я некоторым сайтам разрешу скрипты?

teod0r ★★★★★
()

Ну скачивает он это файл к себе в память, дальше что? Диск обрезан, запуск бинаря не возможен.

vertexua ★★★★★
()

Ты забыл написать, что пользователь должен разрешить запуск «вируса»

GoNaX ★★★
()

Пользователям MacOS подготовлена сборка вируса лишь для платформы PowerPC

Слоупоки.

Ttt ☆☆☆☆☆
()

Баян, ещё дня три назад было во вконтакте.

И да, там, вроде, надо нажимать на кнопку подтверждения для запуска этого «вируса» — он даже не запускается сам.

gentoo_root ★★★★★
()

А где сам вирус скачать

kombrig ★★★
()

По статистике W3Techs Джава используется на 0,15% из миллиона самых популярных сайтов, даже меньше, чем Silverlight, который пока что остался на 0,25% сайтов. Кто ее еще не заблокировал — ССЗБ.

trycatch ★★★
()
Ответ на: комментарий от teod0r

этот вирус через яваскрипты передаётся или нет

ну, если в твоей вселенной жаба работает через js, то да - передается :)

xtraeft ★★☆☆
()
Ответ на: комментарий от teod0r

Нет, это Java-апплет. JS тут ни при чем.

trex6 ★★★★★
() автор топика
Ответ на: комментарий от xtraeft

После запуска апплета он скачивает троян. Версия для линукс есть изкаробки, ничего патчить не надо.

trex6 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.