LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , koobface, , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 4)

Ответ на: комментарий от Macil

А масса людей таскает бумажники в задних карманах. Масса людей оставляет без присмотра личные вещи в общественном транспорте. Масса людей оставляют ключи в замке. И? И тоже, наверно, неудобно.

Да, неудобно. И это не нормально, что им приходится труситься за бумажник, ставить сигналку на квартиру и т.д. В идеале, должно быть все по-другому.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

Убунта - тот же Линукс - открытая конфигурируемая система (в отличии от закрытой и неконфигурируемой мелкософтовской поделки.

User2X
()
Ответ на: комментарий от Trojan_Winlock

[quote]Любители безопасного Линукса такие аскеты... А есть куча людей, которым все эти ваши НоСкрипт и ФлешБлок неудобны.[/quote]

Ну так некоторым неудобны дорожные правила — таких особенно много в России, где каждая мигалка хочет ездить по встречке, а отдельным [s]идиотам[/s]оригиналам мешает все, вплоть до гравитации.

Да и не нормально это, понимаешь?

Нет не понимаю. Как написать программу, которую нельзя запустить? Если я сейчас выложу скрипт с 'rm -fr /' или 'format c:' и напишу: «Зырьте сюда: какая клевая мультяшка!», обязательно найдутся идиоты, которые пустят его под root(Administator). И конечно же, в этой ситуации будет виноват линукс (винда), файрефокс (интернетэксплорер) — все, кроме идиота, его запустившего.

А ты, братец, похоже, хочешь нести флаг этой армии идиотов. Что ж, в добрый путь!

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

обязательно найдутся идиоты, которые пустят его под root(Administator). И конечно же, в этой ситуации будет виноват линукс (винда), файрефокс (интернетэксплорер) — все, кроме идиота, его запустившего.

Об этом и речь, в чем проблема?

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

ну опять начинается срач. по сути, о чем спор? вирусы для Линукса есть - уяснили. В Линуксе вирусы жить не будут (по причине сути самой системы)- очевидно.

User2X
()
Ответ на: комментарий от Trojan_Winlock

> «Линукс же безопасен, йопт, значит не страшно, если я установлю этот плагин, что бы посмотреть видео на сайте».

Линукс безопасен потому, что в нем есть возможность вести политику «запрещено все, кроме того, что разрешено». В винде политика обратная. NT имеет систему разграничения прав с самой первой публичной версии. И что? Все равно вс, начиная с XP, работают в винде под администратором — надеюсь тебе, даже с твоими ограниченными умственными возможностями, ясно, к чему это приводит?

annoynimous ★★★★★
()
Ответ на: комментарий от User2X

то что надо скачать и самому запустить - это не вирус!
это ССЗБ!
не более
учим матчасть!

megabaks ★★★★
()
Ответ на: комментарий от annoynimous

вот именно. когда разработчики системы дают тебе полную свободу - ты сам решаешь. а когда дядя Билл решил, что ты лох, то это как бы намекает....

User2X
()
Ответ на: комментарий от Trojan_Winlock

>В идеале, должно быть все по-другому.

Ой, какие хорошие, годные розовые сопли. Ты, эта, сморкинсь в баночку. Я на полку поставлю и ностальгировать буду. Только таких вот «розовеньких» жизнь лупит фейсом об тейбл. Больно. Но эффективнее механизма еще не придумали.

Macil ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

> Об этом и речь, в чем проблема?

Проблемы нет. Проблема в том, что в линуксе есть все средства не подхватить этот троян даже случайно — достаточно иметь отключенный по умолчанию флеш и яву. Ты хоть раз видел флешблок? если тебе нужен ролик — просто ткни в него. Но если ты просто загрузил страницу у тебя есть гарантия, что никакой скрипт не запустится сам и не сопрет из твоей телефонной книги номер твоей бабушки.

Кроме того, у меня, например, на основной системе браузер запускается от имени другого пользователя. В принципе, его домашний каталог можно весь сделать read-only, если хочется, или смонтировать его в tmpfs

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

> Кроме того, у меня, например, на основной системе браузер запускается от имени другого пользователя. В принципе, его домашний каталог можно весь сделать read-only, если хочется, или смонтировать его в tmpfs

а вот и конфигурируемость. как с таким бороться вирусописателям? лучше удавиться сразу.... Способов обезопасить систему очень много. Так что новость не тянет на сенсацию.

User2X
()
Ответ на: комментарий от megabaks

столько классов не существует

В школе для умственно отсталых, в который ты сейчас учишься, еще и не столько есть. Слюну вытри с подбородка.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

> Слюну вытри с подбородка.

все, дальше не интересно. у топикстартера аргументы кончились

User2X
()
Ответ на: комментарий от annoynimous

>В принципе, его домашний каталог можно

Устарело. Есть AppArmor, есть SELinux. При должных настройках можно хоть из-под рута пускать.

Macil ★★★★★
()
Ответ на: комментарий от Macil

Ой, какие хорошие, годные розовые сопли. Я на полку поставлю и ностальгировать буду.

Я рад, что удовлетворил твой фетишь.

Только таких вот «розовеньких» жизнь лупит фейсом об тейбл.

Ты не согласен с тем, что в идеале должно быть по-другому? Не хотел бы так?

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

>Не хотел бы так?

Знаешь, как говорят, бойся мечтаний, они иногда сбываются. Такой мир стал бы земным филиалом ада.

Macil ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

> Ты не согласен с тем, что в идеале должно быть по-другому? Не хотел бы так?

Идеалист, неужели ты не понимаешь, что соревнование снаряда и брони никогда не кончается? Всегда будут способы сломать защищенную систему любой сложности, не в лоб, так «в обход». Вопрос состоит лишь в том, помогает ли твоя ОС тебе в борьбе или говорит: «я все разрешаю, е..сь как хочешь».

Радикальным способом решения твое проблемы является выдача доменов только под паспорт с уголовным преследованием любой вирусной и фишинговой активности. Неужели хочется превратить относительно свободный интернет в тюрьму, где каждый по умолчанию считается виновным?

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

Проблема в том, что в линуксе есть все средства не подхватить этот троян даже случайно — достаточно иметь отключенный по умолчанию флеш и яву.

Тоже самое можно сделать в Винде, нет?

Ты хоть раз видел флешблок? если тебе нужен ролик — просто ткни в него. Но если ты просто загрузил страницу у тебя есть гарантия, что никакой скрипт не запустится сам и не сопрет из твоей телефонной книги номер твоей бабушки.

У меня для этого есть НоСкрипт - надежнее будет.

Кроме того, у меня, например, на основной системе браузер запускается от имени другого пользователя. В принципе, его домашний каталог можно весь сделать read-only, если хочется, или смонтировать его в tmpfs

Накрутить настроек безопасности (поотключать службы, сидеть под юзером, установить НоСкрипт) можно и в Винде. Но многие ли так делают из-за недобства? Не многие.

Прикол в том, что с ростом популярности Линукс (если такое чудо случится), хомяков вводящих везде пароль рута будет полно.

Trojan_Winlock
() автор топика
Ответ на: комментарий от xorik

ну для начала и так уже молодцы неплохо постарались - до этого все приходилось руками сначала устанавливать, а потом запускать

bender ★★★★★
()
Ответ на: комментарий от annoynimous

выдача доменов только под паспорт с уголовным преследованием любой вирусной и фишинговой активности. Неужели хочется превратить относительно свободный интернет в тюрьму, где каждый по умолчанию считается виновным?

Нет, не хочется. Хочется, что бы люди как-то... ну не знаю...каким-то чудом лишились в мозгу сегмента «зла» и можно было бы спокойно запускать ПО в Инете и с бумажником ездить в кармане в Общ-транспорте...

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

> Нет, не хочется. Хочется, что бы люди как-то... ну не знаю...каким-то чудом лишились в мозгу сегмента «зла» и можно было бы спокойно запускать ПО в Инете и с бумажником ездить в кармане в Общ-транспорте...

висуросписательство - бизнес. Он не имеет морали. А ответсвенность и тюрьма это разные вещи. Ответственность может быть следствием органичного развития личности до определенного (высокого) уровня. Да и вообще, свобода - это как раз обратная сторона ответственности, а не хаоса.

User2X
()
Ответ на: комментарий от vadik

ФФ запущен от имени пользователя «без права голоса»

Насколь ко я понял, право голоса значения не имеет - с любым правом тебя попросят подтвердить установку плагина.

плюс носкрипт, плюс адблок, то я опять в пролете

Ну, если ты очень веришь человеку, который прислал ссылку, то ты отключишь и НоСкрипт и ДжаваБлок, что бы посмотреть ролик или чего там он прислал.

и очередной мегавирус для линукс снова проследует в направлении части поверхности земли покрытой древесными растениями?

Если Джава не стоит, то да :)

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

ФФ запущен от имени пользователя «без права голоса»

Насколь ко я понял, право голоса значения не имеет - с любым правом тебя попросят подтвердить установку плагина.

Имелось ввиду что у пользователя, под учеткой которого запускается ФФ, нет никаких прав вообще.

Ну, если ты очень веришь человеку, который прислал ссылку, то ты отключишь и НоСкрипт и ДжаваБлок, что бы посмотреть ролик или чего там он прислал.

Так это уже и не вирус получается, хотя вашу мысль я понял.

vadik ★★
()
Ответ на: комментарий от Trojan_Winlock

> Тоже самое можно сделать в Винде, нет?

Можно. Но большая часть дебилов^Wпользователей сидят под админом и отключают UAC

У меня для этого есть НоСкрипт - надежнее будет.

А теперь я надену ДВА презерватива...

Накрутить настроек безопасности (поотключать службы, сидеть под юзером, установить НоСкрипт) можно и в Винде. Но многие ли так делают из-за недобства? Не многие.

В этом и суть, что инфраструктура винда (как сама она, так и большинство ее программ) приспособлены к работе в режиме «запрещено все, кроме того, что разрешено» гораздо хуже линукса. Плюс эта кретинская идея об «интуитивно-понятном управлении компьютером». Хотя нет, я не прав, идея отличная: она приносит доход как МС, так и многим сторонним компаниям вроде антивирусных и прочих производителей «чистилок», которые только упрочнают экосистему винды: всегда можно рапортовать, что «новая версия теперь еще более безопасная», «антивирус ловит теперб 99.8% вирусов, вместо предыдущих 99.7%». А то, что за 8 лет существования XP НИ ОДИН СЕРВИСПАК не отключил абсолютно кретинский AUTORUN съемных носителей, что персекло бы 99% вирусного трафика — это как бы идиотики, представляющие основной контингент пользователей винды, не замечают...

annoynimous ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

>Хочется, что бы люди как-то... ну не знаю...каким-то чудом лишились в мозгу сегмента «зла» и можно было бы спокойно запускать ПО...

Относись к этому как к законам природы. Глупо ведь обижаться на море, если ты на деревянной дырявой лодке утонул во время шторма - это море, оно такое. Абсолютных выживаемых организмов эволюция пока не придумала (чужих вон и тех обычная тетка мочила, не говоря уже о хищниках) - можно только судить по тому, насколько хорошо по сравнению с остальными каждый организм приспособлен к окружащей по определению враждебной среде.

bender ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

> Прикол в том, что с ростом популярности Линукс (если такое чудо случится), хомяков вводящих везде пароль рута будет полно.

Поэтому я не хочу его популяности, я хочу, чтобы линукс стал ОС для технической элиты — людей, которые понимают, что делают и любят читать документацию сначала. И именно поэтому я всячески желаю успеха МакОС: она

а) Оттянет на себя идиотов с тягой к элитизму — пусть они вводят рутовский пароль для троянов

б) Донесет до производителей мысль, что в природе есть не только винда, и пока максос больше похожя на линукс они будут вынуждены писать хоть сколь-нибудь портируемый код, а некоторые даже рассудят, что его несложно теперь и на линукс портировать...

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

Да, все это так. Линукс, конечно, по-умолчанию, всеми этими недостатками не обладает.

НО! Представим себе, что кучу школ, офисов и всего остального перевели на Линукс. На Убунту пересели все (ну не все, но многие) домохозяйки и прочая школота.

А у них все отключено. Джавы нету, Флеша нету... У них батхерт, потому что подруга прислала ролик или ссылку на игру, а она не открывается. Помаявшись пару раз они с удовольствием хоть джаву, хоть флеш, хоть черта лысого поставят и хоть 100500 раз введут пароль рута.

Trojan_Winlock
() автор топика
Ответ на: комментарий от annoynimous

> портируемый код, а некоторые даже рассудят, что его несложно теперь и на линукс портировать...

Тем более, что технически грамотная часть компьютерных пользователей, несмотря на свою малочисленность, оказывает существенно большее влияние — ибо они, программеры, админы и ученые, часто принимают решения о прибретении железа и софта в масштабах значительно больших, чем единственный персональный десктоп и «дружить» с ними, значит обеспечить себе стабильный и надежный сбыт своих устройств/программ.

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

Кроме того, у меня, например, на основной системе браузер запускается от имени другого пользователя. В принципе, его домашний каталог можно весь сделать read-only, если хочется, или смонтировать его в tmpfs

Вопрос чисто практический, монтировать read-only (или в tmpfs) можно отдельно взятый каталог или только диск целиком, и как в таком случае быть с добавлением новых закладок и скачиванием всяких полезностей?
Да и для такого вируса tmpfs не помеха, при выключении браузера каталог будет отмонтирован автоматом?

vadik ★★
()
Ответ на: комментарий от bender

Относись к этому как к законам природы.

Да понятно. Просто люблю помечтать, поидеализировать :)

Trojan_Winlock
() автор топика

Если пользователь согласится на выполнение апплета, его система станет частью ботнета.

Ну как бы соглашаться та никто не заставляет.

redkot
()
Ответ на: комментарий от Trojan_Winlock

> НО! Представим себе, что кучу школ, офисов и всего остального перевели на Линукс

Это хорошо. Будем надеяться, что для их обслуживания наймут админов

На Убунту пересели все (ну не все, но многие) домохозяйки и прочая школота.

Лучше бы этого не случалось, но если и случится, то страдать будут в основном они. На безопасность _првильно_ настроенного и _правильно_ используемого линукса это никак не скажется — только на сохранности номеров кредиток домохозяек. Главное — это не идти на поводу у хомячков, а для этого требуется твердая идеология, пусть даже и в ущерб коммерции.

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

в природе есть не только винда, и пока максос больше похожя на линукс они будут вынуждены писать хоть сколь-нибудь портируемый код

Абажди, а как это соотносится? Под Мак есть куча хитовых игр, но их же не портируют под Линукс...

Trojan_Winlock
() автор топика
Ответ на: комментарий от vadik

> Вопрос чисто практический, монтировать read-only (или в tmpfs) можно отдельно взятый каталог или только диск целиком, и как в таком случае быть с добавлением новых закладок и скачиванием всяких полезностей?

Со скачиванием проблему я решил (правда частично, потому что еще надо сам файрефокс патчить, чтобы не создавал файлов с правами 600) с помощью ACL, а закладки следует модифицировать «внешним образом» — при выключенном браузере. Да, неудобно, но что поделать.

annoynimous ★★★★★
()
Ответ на: комментарий от redkot

Если пользователь согласится на выполнение апплета, его система станет частью ботнета.

Ну как бы соглашаться та никто не заставляет.

Как бы да, но тут есть тонкий социально-инженерный момент. Начинающий линуксоид знает, что:

1. В Линуксе нет вирусов (на всех углах ему об этом кричат).

2. Из-за политики СПО в Линуксе нужно многое доустанавливать дополнительно (кодеки, плагины, ну и всяко-разно)

А потому он совсем не удивится, если браузер предложит ему установить недостающий компонент.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

> Абажди, а как это соотносится? Под Мак есть куча хитовых игр, но их же не портируют под Линукс...

Это макос-only игры. А речь идет о софтверных компаниях, пищущих софт под _несколько_ систем, хотя бы под винду и макос. Поскольку они весьма отличаются, то вопросы кросплатформенности будут намного более актуальными, чем только для win-only или macos-only софта.

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

А разве это так просто? Мне кажется, что нет. Если б было просто, то разрабы же и так писали кросс-платформенный софт. Есть Джава, но она далеко не всем нравится - прожорлива.

У меня есть программер знакомый - написал прогу там специальную для одного предприятия. На мой вопрос: «А че ты ее кросс-платформенной не сделал», ответил, что это очень сложно геморно, а с Джавой связываться не хотел.

Trojan_Winlock
() автор топика
Ответ на: комментарий от annoynimous

Ясно, спасибо, сам фокса запускаю от отдельного пользователя, проблему с правами решил проще, включил своего основного пользователя в группу пользователя ФФ, в результате получил полный доступ к домашней папке пользователя для запуска ФФ. Теперь бы еще придумать как защитится от подобных вирусов....

vadik ★★
()
Ответ на: комментарий от Trojan_Winlock

> А разве это так просто? Мне кажется, что нет. Если б было просто, то разрабы же и так писали кросс-платформенный софт. Есть Джава, но она далеко не всем нравится - прожорлива.

Это непросто. Но если макос оттягает хотя бы 15-20% аудитории, все производители, которые не захотят терять доходы с этой части, будут вынуждены выкатить и макос версии. А поскольку две команды программистов, дороже одной, но пишущей кроссплатформенно, то они будут писать кроссплатформенно.

annoynimous ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

А потому он совсем не удивится, если браузер предложит ему установить недостающий компонент.

Как много нам открытии чудных готовит просвещения дух.... бедные школьники. А на реальный вирус эта поделка пока не тянет.

redkot
()
Ответ на: комментарий от vadik

Я легко могу в скрипт, запускающий файрефокс вставить в конец pkill -9 -U browser, тогда троян умрет просто при перезапуске браузера. С вирусами, что-то пишущими на диск бороться труднее

annoynimous ★★★★★
()
Ответ на: комментарий от redkot

А на реальный вирус эта поделка пока не тянет.

Ну, возможно, скоро и пароль рута вводить не придется. Я, конечно, не спец, но мне кажется (на правах бреда!), что можно как-то замутить, что бы зловред проникал в ПК и начинал брутфорсить пароль рута через облачные технологии там, я не знаю :) Ну, наверняка можно как-то замутить ;)

Trojan_Winlock
() автор топика

Это глупость а не «червь». Потому что оно должно само размножаться, а не требовать того что бы я зашел на фейковую страницу и руками запустил зловредный аплет. Тогда уж можно и не аплет а на js накорябать какой нить код, или на сильверлайте, и назвать это червем. Вот помню были другие времена - настоящие вирусы, алгоритмы полиморфизма, ассемблер, все такое, а сейчас... Причем самое удивительное что и сейчас разные ненужные конторы типа касперского умудряются делать бабки на подобной шняге. Воистину - обычный пользователь до такой степени тупое быдло что не обобрать его можно считать преступлением !

anonizmus
()
Ответ на: комментарий от anonizmus

Вот помню были другие времена - настоящие вирусы, алгоритмы полиморфизма, ассемблер, все такое, а сейчас...

Такие качественные экземпляры и сейчас есть. Но с развитием самосборок «Сделай свой троян за 5 минут и 10 кликов» количество мусора в «индустрии», конечно же, лавинообразно. Зато с ними можно бороться простым соблюдением гигиены даже под Виндой.

А вот с такими шедеврами, как ZeuS или 64-битный!!! BackDoor.Tdss - действительно не просто справится даже чистоплотному юзверу Винды.

Trojan_Winlock
() автор топика

>в Linux-системах он копирует себя в хомяк

только для первой перезагрузки.


Ну кто там говорил что вирусов пол онтоп нету по причине непопулярности, все равно они толком не работают под онтопом... мда... тяжко должно быть писакам авиров будет когда линукс захватит 101% рынка!

Далее, аналогия, винда как живой организм спонтанно возникший, подвержена заразе, линукс же является творением разума, потому более прямой.

anonymous
()
Ответ на: комментарий от annoynimous

Насколько я понимаю, тут проще будет при запуске браузера все файлы и папки пользователя перевести в режим «только для чтения» (что-то типа sudo chattr +i бла-бла), а запись разрешить только в избранные, а при выключении все «вертать взад». Скачивание же контента производить в отдельную (не дефолтную) папку.

vadik ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.