LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , , , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности

Ответ на: комментарий от Macil

и тот факт, что любой системный файл находится под учетом пакетного менеджера


После первого
./configure&&make
su
make install
это уже не так. Конечно, можно и в пакет завернуть, но если это не обязательно, то не всегда делается. Нужен встроенный простенький жабоантивирь.

Napilnik ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

Кстати, то, что в испытаниях везде указана Убунта, как бы говорит нам...

что убунта популярнее всех остальных дистрибутивов вместе взятых

vovocho ()
Ответ на: комментарий от Trojan_Winlock

> Знаешь, а ведь многие пользуются ВиртуалБоксом, Vuze и кучей другого джава-софта, играми, например, кстати.

ВиртуалБоксом

джава-софта

Зобаньте уже это неразумное толстое существо.

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от vadik

>Имелось ввиду что у пользователя, под учеткой которого запускается ФФ, нет никаких прав вообще.

Если у него нет прав, то он не сможет скачивать через броузер файлы, что неудобно. А если такие права имеет, то может повредить ранее скачанное.

Napilnik ★★★★★ ()

Верный признак того, что линукс действительно приходит на десктопы, и это есть очень хорошо - вместе с хомяками подтянутся драйверо- и софтописатели. А вирусы мне пофиг, они меня и под виндой не сильно беспокоили.

prischeyadro ★★★☆☆ ()

Ждём бандловую версию этого нигерийского «червя» (червём это называть язык не поворачивается) с интегрированными машинами для тех у кого явы нет.

Lumi ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

> >Вбокс на цпп написан

Т.е. джава ему не нужна?


Нет, не нужна.

да ну, всю жизнь тянет за собой Джаву,


У вас какой то особый VirtualBox.

как и ООо, кстати. А ООо стоит у 99% линуксоидов.


Так вы еще и статист. У меня OOo работает без явы.

Так же вам стоит разобраться в отличительной особенности программы, которую называют вирус.

andreyu ★★★★★ ()
Ответ на: комментарий от andreyu

>Так вы еще и статист.

Он тролль, который маскируется под человека, не знающего матчасть.

anonymous ()
Ответ на: комментарий от Trojan_Winlock

> У меня есть программер знакомый - написал прогу там специальную для одного предприятия. На мой вопрос: «А че ты ее кросс-платформенной не сделал», ответил, что это очень сложно геморно, а с Джавой связываться не хотел.

В кривых руках многое кажется геморройным.

andreyu ★★★★★ ()

Не изучал флеш, потому и спрашиваю. Можно ли сделать броузерную эротическую флеш игру которая будет портить файлы пользователя?

Napilnik ★★★★★ ()
Ответ на: комментарий от Napilnik

> Нужен встроенный простенький жабоантивирь.

в жабу «антивирь» уже встроенный - это то самое предупреждение, показанное на первом скриншоте. несмотря на это, камень в огород оракла следует бросить: предупреждения системы безопасности должны быть локализованы, что-бы их могли понять люди не владеющие английским.

но все это херня, социальный инжиниринг рулит и педалит, от этого не спасет ни одна система. среднестатистический хомяк тыкнет ok на любом языке, больно уж хочется посмотреть, что же оно там показывает.

anonymous ()

ура!

ну собстро шутили шутили и вот нате) сбылись мечты особо упоротых личностей, как бы, имхо может быть это и еденичный случай. но сам фак рабочего трояна под *nix стоит задуматься, будет ли переворот и пингвин будет также уязвим и появятся уязвимости точнее их будут копать активнее так как красноглазики привыкли считать и верить в своё неуязвимое будущее, впринцыпе если начнут активно копать то имхо повяца куча уязвимостей, я посторяюсь, извините, главно чтобы дыри латали в скорейшем времени) и код лучше тестили, имхо много уязвимостей начало появляца стало, что не хорошо, так что может просто непрерывная разработка доёт о себе знать, человекческий фактор вся фигня, или просто усталость...вот...написал бред будет стыдно но это то что я думаю по этому поводу, сорри) не ажекват)

Memph1s ()
Ответ на: ура! от Memph1s

>сам фак рабочего трояна под *nix
Как будто бы он первый. И где эпидемии?
Еда там →

x3al ★★★★★ ()
Ответ на: ура! от Memph1s

Re: ура!

>но сам фак рабочего трояна под *nix стоит задуматься

Вы наверно ни одного «Hello World» не написали если удивляетесь возможности запихнуть троян в _сторонний_ софт. Срач идёт по поводу вирусов которые можно подхватить не используя софт из непроверенных источников.

Napilnik ★★★★★ ()

Апплет использует уязвимость в Java


Апплет использует уязвимость в мозге пользователя.

На самом деле, где там «уязвимость в Java»? Java plugin корректно выдает вопрос, доверять ли подписи. Подписанный апплет может делать все что угодно, для того и подпись, потому и вопрос.

Fice ★★ ()
Ответ на: комментарий от anonizmus

А что такого в 64-битности ? Ну скомпилили его поставив галочку что бы 64битным был, и что это ему дает

В x64‑версиях системные файлы загружаются в случайные адреса памяти, что существенно осложняет написание работающего вируса.

Т.е. продвинутому пользователю, с учетом грамотно настроенного UAC, антивирус в той же севен, практически не нужен (учитывая, что суперадмин в Windows 7 отключен по умолчанию).

Благодаря неспособности 64-разрядной версии Internet Explorer обращаться к 32-разрядному коду для платформы x86, возможности для атак с использованием существующих 32-разрядных вредоносных программ невелики. На практике, ни один из используемых ныне способов доставки вредоносных программ с помощью веб-страниц не действует, если не считать программ, загружаемых и запускаемых непосредственно пользователем.

Trojan_Winlock ()
Ответ на: комментарий от Trojan_Winlock

это ты неграмотный - это афтарская арфаграфия! :3

megabaks ★★★★ ()
Ответ на: комментарий от Trojan_Winlock

>На практике, ни один из используемых ныне способов доставки вредоносных программ с помощью веб-страниц не действует, если не считать программ, загружаемых и запускаемых непосредственно пользователем.
А уязвимости во flash — это уже не способ доставки?

x3al ★★★★★ ()
Ответ на: комментарий от vadik

«Я так понимаю, если у меня, к примеру, ФФ запущен от имени пользователя „без права голоса“, плюс носкрипт, плюс адблок, то я опять в пролете и очередной мегавирус для линукс снова проследует в направлении части поверхности земли покрытой древесными растениями?»

Какое это все имеет отношение к безопастности системы? Система безопасна если его не удасться в ней запустить по умолчанию (без антивируса, адблока, носкрипта и пр.).

Если я в винде поставлю оутпуст, авиру и ад авере, то винда то же будет мегабезопасна.

anonymous ()

Странно.
Мою новость об уязвимостях Java не пропустили а эту пропустил, хотя здесь всего лишь об одном червяке.

grim ★★★★ ()
Ответ на: комментарий от anonymous

Если ты говоришь это серьёзно, значит ты не в курсе вообще. Ни про джаву, ни про виртуалбокс, ни про ОО.

Я ставил ВБ на Убунту 9.10 и он просил почему-то Джаву. Как сейчас - не знаю, использую православную VMware.

А про ООо вот с оф-сайта: Java is required for complete OpenOffice.org functionality.

Trojan_Winlock ()
Ответ на: комментарий от grim

Видимо потому, что эта новость ссылается на Хабр.

grim ★★★★ ()
Ответ на: комментарий от anonymous

Если я в винде поставлю оутпуст, авиру и ад авере, то винда то же будет мегабезопасна.

ад авере

А это-то зачем?

Trojan_Winlock ()
Ответ на: ура! от Memph1s

ты упорот!
этот «червь» спрашивает - зя или незя!
и какой же это зверёк для линя?
он для явы! на какой оси последняя выполняется пофиг!
кстати - почему червь?
кто-нибудь мне объяснит?
кстати - попробуй запустить

perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
а потом приди и поплачь - «megabaks - злой вирусописатель!» ^_^

megabaks ★★★★ ()
Ответ на: комментарий от anonymous

>Если я в винде поставлю оутпуст, авиру и ад авере, то винда то же будет мегабезопасна.
неа :)

megabaks ★★★★ ()
Ответ на: комментарий от Trojan_Winlock

У тебя просто руки из жопы растут, как и у всей СЛОРовщины.

daemonpnz ★★★★★ ()

Twitter, Facebook и MySpace

Что это?

record ★★★★ ()
Ответ на: комментарий от Trojan_Winlock

>Я ставил ВБ на Убунту 9.10 и он просил почему-то Джаву.

Сан по любую загрузку предлагает провести через свой java downloader. Виртуалбоксу она никогда не была нужна.

AVL2 ★★★★★ ()

Смотрел скриншоты. Культурный червь СПРАШИВАЕТ РАЗРЕШЕНИЯ запуститься.

yuretsz ()

Любую ос можно сделать безопасной и наоборот. Тот же Windows под учетной записью обычного пользователя, включенным брандмауэром и соблюдением элементарных правил безопасности не на много опаснее linux, который же, под рутом ,становится уязвимее Windows.

Enot52 ()
Ответ на: комментарий от bender

> Абсолютных выживаемых организмов эволюция пока не придумала

Оффтоп, но есть какие-то морские ежи на дне каком-то. Вообще неубиваемые и неумираемые.

turtle_bazon ★★★ ()
Ответ на: комментарий от Trojan_Winlock

> 2. Из-за политики СПО в Линуксе нужно многое доустанавливать дополнительно (кодеки, плагины, ну и всяко-разно)

А потому он совсем не удивится, если браузер предложит ему установить недостающий компонент.

Ты сам то пробовал таким образом java-плагин установить?

turtle_bazon ★★★ ()
Ответ на: комментарий от Trojan_Winlock

>Я ставил ВБ на Убунту 9.10 и он просил почему-то Джаву.

http://packages.ubuntu.com/karmic/virtualbox-ose

В зависимостях джавы нет. У не-ose тоже.

А про ООо вот с оф-сайта: Java is required for complete OpenOffice.org functionality.

Так ты пользовался хоть раз ОО или нет? Хватит троллить. Джава там совершенно не нужна большинству пользователей. Я видел людей которые года 3 в нём постоянно что-то набирают, даже кто-то диплом писал (мазохизм). И никакой джавы.

Тем более даже если и джава, то почти всегда без веб-плагина. Это вам не флеш.

//Кстати, не видел джаву в вебе уже пару лет.

anonymous ()
Ответ на: комментарий от Trojan_Winlock

> что бы зловред проникал в ПК и начинал брутфорсить пароль рута через облачные технологии там, я не знаю :) Ну, наверняка можно как-то замутить ;)

Для этого для начала надо хэш пароля получить. А это не очень простое занятие. Придётся пользоваться уязвимостями в glibc и т.д. и знать, что к моменту написания зловреда не установились обновления безопасности.

turtle_bazon ★★★ ()

Дядя Гитлер пигвин

Тупо оформлена новость.

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

Типа встречайте явааплет? Вы хоть делитесь, или выдыхайте. Первый? да ну, их уже нормальное количество было, которые использовали ошибки в явааплете. Забыли про кросс-платформенный адобе флеш, там тоже можно написать вся ко разно прог вредных к их то ошибкам.
Новость вот типа так, тру.
Благодаря ошибке в плагене xxx ссылка на баг
возможно использование вот такой гадости ссылка
PS Всем нет, нет советую пользоваться netsat ps, так на всякий пожарный. Сам пользуюсь)


srgaz ()
Ответ на: комментарий от Enot52

> Тот же Windows под учетной записью обычного пользователя, включенным брандмауэром и соблюдением элементарных правил безопасности не на много опаснее linux, который же, под рутом ,становится уязвимее Windows.

Толсто

Led ★★★☆☆ ()

Проверено: anonymous_incognito (31.10.2010 0:22:53)

блин, ну я понимаю в пятницу вечером такое пропустить в новости, но в воскресенье то зачем??

ei-grad ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

>>Ну как бы соглашаться та никто не заставляет.

Как бы да, но тут есть тонкий социально-инженерный момент. Начинающий линуксоид знает, что:

1. В Линуксе нет вирусов (на всех углах ему об этом кричат).

2. Из-за политики СПО в Линуксе нужно многое доустанавливать дополнительно (кодеки, плагины, ну и всяко-разно)

А потому он совсем не удивится, если браузер предложит ему установить недостающий компонент.



Вот тут вот точно описана логика начинающего линуксоида, потому что действительно на той же Бубунте приходилось многое докачивать, начиная с плагинов для мп3 и всяких видеокодеков. Далее, вылезает окошко на басурманском же? Ну и много ли у нас хомяков со знанием аглицкого? Нажмут ОК дабы моск не мучать переводом, так ведь. Далее, школы переводят на Линукс, и школота слышала, что на Линуксе вирусов нет! «Значит можно качать порнушку/варез/фильмы со всяких сомнительных сайтов и нифига не бояться! Вау! Опа, какое-то окошко с хернёй непонятной?.. Так вирусов же под Линукс нет! Жмём ОК и не напрягаем моск!» - приблизительно так будет мыслить школьнег, хотя не факт, что вообще задумается над причиной появления окна. Многие из хомячков читают лицензионное соглашение перед установкой программ? Да единицы. И наивно верить, что с переходом школ на Линукс туда резко наймут бородатых одминов. Одмину же бабосики платить надо, да и одмин-линуксоид, это ж такая личность, что не будет молча смотреть на всякие выкрутасы начальства. А директора таких людей не особо любят. Да, но прежде всего, вопрос в деньгах. Если уж лаборантов/рабочих сейчас стали сокращать, то откуда ставке одмина взяться? Для министерства образования это лишняя трата бабосиков. Проще отрапортовать, что всё зае**сь и так! Это же Россияния...
Тем более, что куча вирусов и в винде рассчитана на дураков. Но тут ведь ещё эффект того, что распространение идёт по взломанным учеткам, и сообщение рассылается друзьям взломанного. И если сообщение с ссылкой приходит не от какого-нибудь хера с горы, а от друга Васи, с которым ещё в песочнице вместе играли, то и процент перешедших по ссылке и безбоязненно установивших плагин, резко возрастает.
Про NoScript, да, вещь хорошая, как и всякие флешблоки и т.д., но вот даже на образовательных сайтах приходится его отключать, я уж не говорю про всякие контактики, одноклассники, маил.сру. Ну ладно, я могу где-то отключить, либо взять и настроить фильтр, включив, что надо в «белый список». А вот какая-нить МарьИванна, например, психанёт и отключит нафиг всякие НоуСкрипты и флешблоки, дабы не совершать кучу ненужных, по её мнению, действий, ведь говорят, что в Линуксе вирусов нет, так нафига тогда париться со всякими настройками?!
Вот проблема как раз и в том, что всё больше вирусов рассчитывается на «интеллектуальное большинство» и внедряется посредством браузеров. Прямые руки - лучший антивирус, так ведь? И осторожность никогда лишней не будет, но ведь бесполезно об этом говорить какому-нить Васе Пупкину, который знает лишь по каким картинкам жмакать, чтобы «был интернет». И действительно, если вдруг резко на большом количестве десктопов (>50%, например) резко установят Линукс, то сразу появятся вот такие программки, которые просят их установить, и ведь их будут устанавливать, вводить пароли от рута/ящиков/учёток/пинкоды карт/ (нужные подчеркнуть), запускать прикольные скрипты из одной строки из под рута, ведь приславший пообещал, что после ввода такого скрипта (обязательно из под рута!) станут доступны все пароли от вконтакте/одноклассников/твиттеров/платных порносайтов/и т.д., перестанет учитываться трафик, станет невидимым твой IP, на твой мобильник придёт 500 р. Я гарантирую это! Ведь мы все знаем, что 95% населения... адекватные пользователи...

PS: Ава зачотная, есть в высоком разрешении? Хочу на обоину поставить :)

Vier_E ★★★ ()
Ответ на: комментарий от Led

У себя под Windows не видел вирусов года 2. Совсем недавно специально перепроверился 2-мя антивирусами, все было чисто.

Enot52 ()
Ответ на: комментарий от Trojan_Winlock

>Ну, возможно, скоро и пароль рута вводить не придется. Я, конечно, не спец, но мне кажется (на правах бреда!), что можно как-то замутить, что бы зловред проникал в ПК и начинал брутфорсить пароль рута через облачные технологии там, я не знаю :) Ну, наверняка можно как-то замутить ;)

Хватит тут нести бред(это тебе не хабр), уже было сказано что в Linux уже все есть чтобы перекрыть кислород даже самому хитрому вирусу, просто для задействования этих срадеств на десктопах «из коробки» пока нет реальной необходимости.

Какой пароль рута? Какой брутфорс? С реальностью дружишь? Нужен рут, ищи дырку на повышение привелегий. Что слабо это для пейсателей быдло вирусов? Что разнооборазие дистрибутивов делает затруднительным использование одной и тойже дыры напоток?

TheMixa ★★★ ()
Ответ на: комментарий от Trojan_Winlock

>На практике, ни один из используемых ныне способов доставки вредоносных программ с помощью веб-страниц не действует, если не считать программ, загружаемых и запускаемых непосредственно пользователем.

Вот и ответ, если моск отсутствует у пользователя опционально или же совсем аппаратно, то ему никакая суперзащита не поможет. Ибо нет никакой пользы от супермегабронированного железобетониевого бункера со сверхпрочными дверями и охренительно сложным и надёжным замком, если обитатели этого бункера открывают кому попало, либо вообще двери не закрывают. А зачем? Ведь они же в супермегазащищённом железобетониевом бункере, которому даже прямое попадание ядрёной 100 мегатонной бомбы не страшно!.. Ну вы понели, да...

Vier_E ★★★ ()
Ответ на: комментарий от Trojan_Winlock

>Ты почитай, почитай, может к 26 годам хоть чуток поумнеешь.

Ты же бред пишешь. Зачем кому-то перечитывать бред? (если он, конечно, не специализируется в психиатрии)

Где описание червя? Что именно он делает, кроме как «распространяется»? Какие именно уязвимости использует? Какие использовать не может? Какие может, но не использеут?

И - да, страдания «пользователей Windows» здесь всех только радуют. Чем сильней страдания, тем больше радость.

В общем, кушай цианиды, деточка.

anonymous ()
Ответ на: комментарий от Trojan_Winlock

> А Джава есть у тех, у кого ВиртуалБокс, например

Это с какого перепугу?

$ apt-cache depends virtualbox-3.2 | grep -i j
$

sjinks ★★★ ()
Ответ на: комментарий от Trojan_Winlock

> как и ООо, кстати

OOo её Suggests, а не Depends. Поэтому может и не тянуть.

sjinks ★★★ ()
Ответ на: комментарий от Enot52

>Тот же Windows под учетной записью обычного пользователя, включенным брандмауэром и соблюдением элементарных правил безопасности не на много опаснее linux […] под рутом
Если добавить «без настроенного файрвола и SELinux/AppArmor», то абсолютная правда.

x3al ★★★★★ ()
Ответ на: комментарий от Trojan_Winlock

>брутфорсить пароль рута через облачные технологии
$ cat /etc/shadow
cat: /etc/shadow: Permission denied
Упс. На облака даже хэш не стащить.

x3al ★★★★★ ()

это работает

почему еще никто не запостил: а в слаке это работает? мне просто интересно - в компах ноль, стоит слака, сам пробовать боюсь.

mudus ()

Еще один повод не использовать Java от SUN - ORACLE В крайнем случае используйте Darvic

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.