LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , , , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности

Из новости понял, что:

1. Есть возможность подцепить этот бот-клиент. В равной вероятности, как под виндоус, так и под линукс.

2. Отключение функциональности браузера не выход.

2.1. Можно и под винду и под линукс пользоваться тем же elinks, можно ограничивать область ответственности браузера, и в линукс и в виндоус за счет разграничения прав или запуска в какой-нибудь песочнице, вплоть до виртуалбокса.

3. Если цепанул, значит ССЗБ.

4. Паранойя.

anonymous ()
Ответ на: комментарий от Trojan_Winlock

или 64-битный!!! BackDoor.Tdss


А что такого в 64-битности ? Ну скомпилили его поставив галочку что бы 64битным был, и что это ему дает, кроме того что видимо он перестанет работать на 32битной венде (которой большинство все же)

anonizmus ()

Червь на Java - это же fail by design, не?

Insomnium ★★★★ ()

В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на JAVA)

Дайте запусти, дайте запустить, дайте...wait, I don't have a JAVA. Shit!

Andru ★★★★ ()
Ответ на: комментарий от Trojan_Winlock

А Джава есть у тех, у кого ВиртуалБокс

Трололо, такое трололо...

Andru ★★★★ ()
Ответ на: комментарий от Zhbert

Так это. Социальные сети и ява не нужны же.

сейчас уже движки форумов предлагают войти на фэйсбук и твиттер, зайти на форум через фэйсбук и твиттер, показывают статусы с фэйсбук и твиттер, показывают сообщения с фэйсбук и твиттер.

от этого массового безумия и впаривания этого шлака никуда не деться. чуть что в новостях - фэйсбук и твиттер (у нас - быдлоклассники и вконтакте). мир обезумел, одина лишь антисоциальная сеть и спасает - LOR

tommy ★★★★ ()
Ответ на: комментарий от anonizmus

У меня трафик лимитирован, поэтому отключение кэша = много лишнего трафика. Как лучше для вас не знаю.

vadik ★★ ()

чорд, неужели для того, чтобы заиметь этого няшного червячка, обязательно иметь регистрацию на щебете, лицокниге или МоёмКосмосе? а на торрентах скачать можно? если качать отдельно, то ему JAVA_HOME куда указывать? или он сам найдёт?

arsi ★★★★★ ()
Ответ на: комментарий от vadik

Да не, мне то и на вирус и на трафик пофигу, я просто напомнил что у браузеров есть директория с кэшем куда тоже можно писать, а если делать перед запуском ридонли то кэш получается дисковый не будет использоваться (браузер ваще заработает ли, если не будет записи в дисковый кэш ?)

anonizmus ()
Ответ на: комментарий от anonizmus

> браузер ваще заработает ли, если не будет записи в дисковый кэш ?

А как же ливцд?

anonymous ()
Ответ на: комментарий от anonizmus

Я же вроде предположил ридонли для всего кроме ...(список составляет каждый сам для себя). Хотя сам такой вариант пока не опробовал, у меня запуск от отдельного пользователя вполне справляется с паранойей.

vadik ★★ ()
Ответ на: комментарий от anonymous

ливцд


У ливцд не ридонли хомячек, а просто в памяти фс лежит. (или ты ливцд не видел никогда ?)

anonizmus ()
Ответ на: комментарий от anonizmus

> У ливцд не ридонли хомячек, а просто в памяти фс лежит.

Точно. Не подумал.

anonymous ()
Ответ на: комментарий от anonizmus

Кстати, кэш можно в память загнать, заодно и браузер быстрее работать будет.

vadik ★★ ()
Ответ на: комментарий от vadik

Так в браузере итак разделение есть - на кэш в памяти и на дисковый, и не факт что во всех браузерах дисковый можно отключить (я просто не знаю а пробовать лень %-)

Короче лажа это все, наверное, делать ридонли для браузера, неудобно будет им пользоваться (например сохранить картинку или файл скачать, нужно будет копировать ссылку и вгетом тянуть каждый раз ? А как смотреть онлайн фильмы, для тех у кого памяти мало, куда они будут буферизироваться ?)

anonizmus ()
Ответ на: комментарий от anonizmus

Ну не делайте папку для скачивания и кэш ридонли, раз памяти мало, тут для каждого отдельного случая нужно свой вариант подбирать. Просто как костыль для защиты от подобных недовирусов наверное подойдет.

vadik ★★ ()
Ответ на: комментарий от vadik

Как костыль - не нужно просто запускать незнакомые аплеты с левых сайтов. Это примерно такое нормальное правило если идешь по улице и видишь валяется банка пива, на дороге, я бы не стал поднимать - мало ли, вдруг там бомба, и че, я могу пиво и в ларьке купить, нахрен мне оно грязное я же не бич какой %-) Так и с этим.

anonizmus ()

джавы в системе нет и не планируется - новость побоку

izmena ()

Апплет использует JAVA-уязвимость

А причем тут линукс?

Freiheits-Sender ★★ ()

Ссыль на вирус, или на сайт где-нибудь есть?

AlexP ()

> Trojan_Winlock

А однострочник на перле не пробовал запускать из-под рута? Поищи на лоре - знатный был тред, былинный.

Эксперт лаборатории Касперского пишет, что информация про Ubuntu не подтверждена.

На буржуйском сайте, где описано действие «трояна» в Ubuntu, справа вверху характерный логотип «Microsoft certified partner».

firstep ()

ждем ебилдов

anonymous ()

youtube не нужен, java не нужна

комментарии не читал.

осуждаю.

anonymous ()

Чёт не интересно, первый кроссплатформенный червь, на джаве, просит установиться сам, так ещё и работает коряво, до первой перезагрузки, я ожидал от новости большего =(

Когда уже научатся писать хоть что-то кросплатформенное, чтоб оно хорошо работало по назначению (игрушки не в счёт)?

Eichhorn ()
Ответ на: комментарий от anonizmus

> Это глупость а не «червь». Потому что оно должно само размножаться, а не требовать того что бы я зашел на фейковую страницу и руками запустил зловредный аплет. Тогда уж можно и не аплет а на js накорябать какой нить код, или на сильверлайте, и назвать это червем.

Конечно это не совсем полноценный вирус, но наивных людей, жмущих на что попало до сих пор очень много.

anonymous_incognito ★★★★★ ()

(комментариев не читал) Он в ~ гадит своими файлами, если ты не знаешь что у тебя в ~, то сам себе злобный буратина.

mixer82 ()
Ответ на: комментарий от petrosyan

Жостко, а ведь ты прав, срочно надо скочать бзсплатно и без sms!

Ramil ★★★ ()
Ответ на: комментарий от Trojan_Winlock

Эээ... Это с каких это пор виртуалбокс требует джаву,я что-то пропустил?

Dimez ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

> потому что без него за ПК не развлечешься в Интернете

Врать бросай, да.

sv75 ★★★★★ ()

Жава на десктопе не НУЖНА!
Бредо-новости не НУЖНЫ!
ОП не НУЖЕН!

paran0id ★★★★★ ()

Имеется в виду уязвимость в sun-java? В убунте-то IcedTea

Aceler ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

> Т.е. джава ему не нужна? да ну, всю жизнь тянет за собой Джаву, как и ООо, кстати. А ООо стоит у 99% линуксоидов.

==> virtualbox_bin dependencies:
- libidl2 (already installed)
- libxcursor (already installed)
- libxinerama (already installed)
- libxslt (already installed)
- curl (already installed)
- gcc (already installed)
- make (already installed)
- kernel26-headers (already installed)
- python2 (already installed)

Про джаву, кстати, тоже - она всегда спрашивает, хотите ли вы запустить это говно? Доверяете ли этому сайту?

Так что вирус хомячковый и опасности не представляет.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от paran0id

КО в действии :) Добавлю еще, что соц. сети тоже не нужны.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от firstep

>А однострочник на перле не пробовал запускать из-под рута? Поищи на лоре - знатный был тред, былинный.

Как он запустит-то? У него ведь домашняя базовая.

paran0id ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

но наивных людей, жмущих на что попало до сих пор очень много.


А все мне кажется из-за того что привыкли на все попало жать «далее» из виндоуса, где постоянно приходится это делать не читая диалоговые окна. Т.е. в линуксе вот что мне нравится - здесь в программах нет постоянного насилия кнопками «далее, вы уверены, абсолютно уверены, поставьте галочку » и проч.

anonizmus ()

Встречаем с распростертыми java расширениями

Forshmak ()
Ответ на: комментарий от Ramil

Не нуачо, поцоны скозали убунта типо венда без вирусов токо офицальную не ставь а с ператки скочай там серийник кряк и всетакое.ну я чо лох поставил а тут такое без косперского никак...

petrosyan ★★★★★ ()
Ответ на: комментарий от paran0id

Ну, это как бы между строк подразумевается :)

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от petrosyan

Не ну чо правилно, ты кочал то Зверя там же это, все уже настроено, ну типо вконтактики однокласники твиттеры и всякие там яндексбары!

Ramil ★★★ ()

>Twitter, Facebook и MySpace

ненужно

Youtube и посмотреть «прикольный ролик»

ненужно

Для просмотра требуется Java-апплет (jnana.tsa)

нафеёоха? пускай хтмл5 используют

пользователь соглашается

а ещё можно яйца дверью прищемить

реестр

ненужно

автозапуск

ненужно

Лаборатория Касперского

тем более ненужно

thunar ★★★★★ ()

>В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java)

ОБОЖЕМОЙ МЫ ВСЕ УМРЁМ!!!

Говнище-то. Вот раньше, я помню, один чувак из одной легендарной команды (название забыл) писал полиморфный кроссплатформенный вирус на голом ассемблере (емнип), который умел загружаться и под маком, и под виндой, и под линаксом. Успехом дело не завершилось, но, блин, это же всё равно так круто :)

yoghurt ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

Так тебе и надо, социальный хомячок ;-)

И ты неправ, для Web 2.0 нужен AJAX, а не флэш.

Господи, сдела еще сто таких троянов, которые вые...ли бы в дупу миллионы тупых лемингов.

Sanitar ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.