Анализ вируса Linux/Bi-A

Даёшь использование технологии этого вируса в кроссистемных приложениях!!! И это самое, исходники бы автор ещё выложил. А вообще, нам по прежнему нечего боятся.

+1 - очень бы хотелось исходники посмотреть

Полезное дело - побольше вирусов, хороших и разных!

А где этот вирус скачать можно. А-а-а!!! Дайте этот вирус, хочу. Ни разу, представляете, ни разу не видел вирусов. А-а-а!!!

а по другому и не могла быть - в реальных условиях он то не работоспособен. Это только касперский пиарится

Он пади для своей работы wine юзает? :)

А как этот вирус запустить - случайно не так:

>tar xvjf virus-0.01.tar.bz2; cd virus-0.01; ./configure; make; sudo ./virus

???

А ошибок при configure об отсутствии заголовков библиотек много?

Дайте посмотреть, а там решим.

Я плохо понимать афтар, он что перфий раз работать под эмулятор должен? Хохмим дальше: ...it works on some versions of the kernel but not on others... Даёшь поддержку всех ядер!!! Какой же это "proof of concept"?

Плачу и хочу видеть это чудо природы собственными глазами.

а подробности, для не осиливших иняз?

Ждем раадостных ананимусов.

Запускали exe'шник под wine'ом в каталоге с elf'овским бинарником и смотрели на результат. Маленькие файлы не заражает, не под всеми ядрами работает. Так в общих чертах, сам по диагонали читал.

Представляю картину - 2020 год, компания Virus Inc. уже 15 лет подряд пытается добится того, чтобы ее вирус работал все всем семействе ядер линукса. Комьюнити Open Source ежегодно скидывается по 100млн.$ в надежде получить таки работающий вирус. Для всех популярных дистрибутивов написаны инсталяторы, но при выходе новой версии ядра их приходится переписывать заново. Но зато этот вирус уже научился делать из Windows Vista подобие работающей ОС - теперь он исправляет 10482 багов и позволяет практически не мучаясь, открыть блокнот. В планах у компании в автоматическом режите удалять Windows и устанавливать Линукс. Ебилды уже пишутся, так что комьюнити не просто так жертвует деньги

гут айдиа, написать вирус, исправляющий баги в Windows

>гут айдиа, написать вирус, исправляющий баги в Windows

Баян. Такие черви уже были

Я ж говорю, с вирусами не встречался.

Все вокруг цепляют что-то, некоторые даже по несколько штук. А тут хоть бы хны, не берёт ничего. Скучно даже.

On April 7, 2006 Kaspersky Labs reported another proof-of-concept virus of this type called Virus.Linux.Bi.a/Virus.Win32.Bi.a. It was written in assembly language and it affected ELF Binaries and Windows .exe files.

Так что исходников не будет :-))

А чёрт у меня скомпиллился. Незапускается чёта. дайте ману!

Почему же windows advocates молчат? Вот! Вот человек, которого надо наставить на путь истинный и показать, что ЕСТЬ ТАКАЯ ОС! :)

emerge Linux/Bi-A

Мечтаю о личной встрече с ними.

мораль сей басни такова, что: а - не сидите под рутом б - ставте правильные права на файло в своей системе короче как вирусов под линь небыло так и небудет :P

Правду глаголишь.

> Все вокруг цепляют что-то, некоторые даже по несколько штук. А тут хоть бы хны, не берёт ничего. Скучно даже.
+1!
эх где мое виндовское прошлое, бессонные ночи за переустановкой оффтопа, рыдания по потеряной инфе...

>Комментарий Линуса Торвальдса:

Я чото не уловил никакой мысли в высказывании Линуса?

alterego # emerge -s linux-bi-a Searching... [ Results for search key : linux-bi-a ] [ Applications found : 1 ]

app-virus/linux-bi-a Latest version available: 1.1_pre5-r4 Latest version installed: [ Not Installed ] Size of files: 51 kB Homepage: http://www.coolhackers.org/ Description: Windows/Linux cross-platform "proof of concept" virus. License: GPL-2

Ща поставлю...

дайте две

совсем старый стал

Линус сказал, что этот вирус ведёт себя, как обычная программа, которая может писать в файлы, принадлежащие пользователю (ужас какой! :)), то есть ни фига интересного, кроме кроссплаформенности...

рано радуетесь ;) просто пока еще не надоумились писать вирусы которые запускались бы в скрипте имели дырц в ядре и получали права админа для себя :)

Я боюсь

Как я понял из статьи никакой кроссплатформенности там нету, просто виндовая прога умеет заражать elf'овые бинарники. Они ж его в Wine запускали.

>Я чото не уловил никакой мысли в высказывании Линуса?

А они есть? Свежие-то мысли...

ждеб ебилдов!

Пока не будет опубликована методика поиска такого вируса, предлагаю считать, что он написан в лаборатории Касперского.

Почитай здесь, http://www.securitylab.ru/forum/read.php?SHOWALL_1=1&FID=22&TID=23142... Проверь здесь : наслаждаемся: http://cs.ifmo.ru/~s120864/poc_2sys.com выводит "hello world" под linux'ом и windows.

> но при выходе новой версии ядра их приходится переписывать заново.

Greg Kroah-Hartman разразился статьёй, в которой аргументированно выводил объяснение того, почему нет и никогда не будет стабильного ядерного api для вирусов. ;-)

Читаем внимательно:

В ней сказано всего-лишь, что он заражает файлы двух форматов - PE и ELF. Не более. Никто не утверждал, что один и тот же код запускается на обеих платформах.

> Пока не будет опубликована методика поиска такого вируса, предлагаю считать, что он написан в лаборатории Касперского.

вы переоцениваете каспегского

Всем привет.

timur_dav:

> Читаем внимательно:

> В ней сказано всего-лишь, что он заражает файлы двух форматов - PE и ELF. Не более. Никто не утверждал, что один и тот же код запускается на обеих платформах.

Ну да, касперский и секурити лаб жгут. Главное правильно подобрать слова для описания "вируса", а остальным их не правильно понять и паники на неделю в интернете хватит :-).

Торвальдс правильно сказал все.

Если кто-нить будет собирать пакет из этого вируса, то пускай делает зависимость на wine или wmvare :-), иначе работать не будет.

читаю в исходниках:

CLT10 is a 1.2k infector of Win32 PE and Linux ELF files.
        The virus runs under 2 very different platforms: Win32 and Linux.
        One of the main aims of this virus, besides running under dual
        Operating Systems, is keeping it small and simple.

        On execution under either Operating System the virus attempts to
        infect all PE and ELF files in the current directory. Under Win32
        the virus calls Kernel32.dll, whilst under Linux the virus calls
        INT 0x80.

т.е. работает и в вин и в лин. только сборка и начальное заражение ельфов производится под вынем.

>Как я понял из статьи никакой кроссплатформенности там нету, просто виндовая прога умеет заражать elf'овые бинарники. Они ж его в Wine запускали.

А что делать, если пользователь у меня бинарников не имеет?

>т.е. работает и в вин и в лин. только сборка и начальное заражение ельфов производится под вынем.

Вручную, что ли?

Понятное дело, а вдруг он их скачает откуда-нибудь (хотя это его проблема, к системе отношения не имеет)?

Плюс запустит вирус ещё сам, или, ещё чего хуже, сам начнёт себя как вирус вести. Мой знакомый (опыт на уровне десктопа имел хороший, но в ком. строке, как в последствии выяснилось, шарил как я в балете) по моему совету запустил как-то rm -rf ~/ (разговаривали о ламерах, которые на это ведутся) и первые пару минут утверждал, что система работает (даже "пыталась" удалять), пока не обнаружил пропажи нескольких гигов инфы. /me смеялся пару дней, стыдно правда немного было. Я думал такое только в байках бывает.

>It was written in assembly language and it affected ELF Binaries and Windows .exe files.

Как мило, они даже рассказали на чём написано ;)

практически вручную. вирь заражает все файлы win32 pe и elf в текущем каталоге - только запустить надо.
цель виря - concept prove ... так что настоящие вири скоро появятся ... ;)

Албанский вирус гораздо эффективнее. Там concept prove -- социальная инженирия :)