LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , koobface, , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 4)

Ответ на: комментарий от Trojan_Winlock

Любители безопасного Линукса такие аскеты... А есть куча людей, которым все эти ваши НоСкрипт и ФлешБлок неудобны.

Брат - в компьютерах почти ноль. Юзает firefox. К noscript-у приучен. Говорит удобен.

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

>Хабре. Он хоть «и не нужен», но там юзеры, в отличие от местных октябрят, привыкли оперировать пруфами, а

Гыг, это хабрахомяки-то с пруфами?

Давай еще на мурзилку тогда сошлись, знаток, бгг.

Sanitar
()

Java спасет маркетинг антивирусных компаний, ура!

renya ★★★★★
()

Во, блин. Снова обделили линуксоюзеров :(

Теперь, чтобы посмотреть, как оно работает - придется жабу ставить. В общем, третий вирус, распространяющийся по модели «ух ты! Дай посмотреть!».

Ну и вирус на жабе - да, серьезно... На нетбуке, например, думаю, вообще не запустится :)

RaySlava
()
Ответ на: комментарий от thunar

Мы то с вами это понимаем. А вот стаи мигрирующих в поисках халявной пищи леммингов - нет.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от RaySlava

В общем, третий вирус, распространяющийся по модели «ух ты! Дай посмотреть!».

Ага. И еще наверняка нужен набор конкретных версий софта :)

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Trojan_Winlock

>А есть куча людей, которым все эти ваши НоСкрипт и ФлешБлок неудобны.

А хабромозглые идут нах...й, что неудивительно,а.

Sanitar
()

Отключил Java скрипт, но что-то скучно без него. Хотя LOR читать можно! Так что всё отлично! Можно и без него!

AltLife
()

а мне вирусы не страшны ведь я пользуюсь болгенос и антивирусом попова

vcore
()
Ответ на: комментарий от Trojan_Winlock

> Во-вторых, «эту желтизну» уже лично опробовал не только спец по безопасности ParetoLogic, но Лаборатория Касперского и даже хаброюзеру удалось ее воспроизвести.

Ну я бы не был так категоричен, за Kасперского полностью не проверял (там вроде, просто писали что есть слухи про Убунту), а вот в Intego указывают на неработоспособность червя на MacOS X, тоесть процесс заражения не проходит до конца.

«If files are downloaded, they are stored in an invisible folder (.jnana) in the current user’s home folder. These files include elements designed to infect Mac OS X, Windows and Linux. The Java applet should also download an installer that will then launch and attempt to install the malware. While Intego has evidence of several infections in the wild, we are not currently able to go beyond this step, as either the malicious malware has bugs preventing it from running correctly, or the servers it contacts are not active or are not serving the correct files.»

http://www.intego.com/news/trojan-horse-os-x-koobface-a-affects-mac-os-x.asp

Хотя может еще и исправят баги ;)

Buy ★★★★★
()

Мне вот любопытно, непрописывание этой штуки в автозогрузку хотя бы гнома с кедами не реализована исключительно из лени автора? ;)

Bod ★★★★
()

Write once, run everywhere! Вперде!

vertexua ★★★★★
()

вирусопесатели совсем обленились и тоже хотят сборку мусора и быдлокодить. те, кто кричит что ява не нужна, могут писать кроссплатформенные вирусы на Qt и в случае установленного в системе компилятора и библиотек Qt добавлять хомячков себе в ботнеты

RedPossum ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

>А Джава есть у тех, у кого ВиртуалБокс

Если ты говоришь это серьёзно, значит ты не в курсе вообще. Ни про джаву, ни про виртуалбокс, ни про ОО. А значит всё остальное, что ты пишешь - бред, который не стоит даже читать.

Если ты пишешь это чтобы потроллить - то ты крут, у тебя действительно получилось, пока аж на 4 страницы.

anonymous
()

>Апплет использует уязвимость в Java

Какую к черту уязвимость? Ему сказали - злобный апплет просит полный доступ - давать? ОН сказал - давать. Уязвимость.

r ★★★★★
()
Ответ на: комментарий от r

вот и я не знаю, о чём новость то? не давать пользователю ставить приложение без личного «ообряэ» евгения касперского - вот единственный выход.

RedPossum ★★★★★
()
Ответ на: комментарий от anonymous

>1. Есть возможность подцепить этот бот-клиент. В равной вероятности, как под виндоус, так и под линукс.

Да уж - при запуске апплет спросил - я такой непонятно кем подписаный - можно я вас отимею - дадите неограниченны доступ к своей машине? Юзер ответил да. Сцуко червь и вирус. Я такой за 15 минут напишу - он будет копировать жарник, запускать его и предоставлять шел в сетку.

r ★★★★★
()
Ответ на: комментарий от ogronom

Нафига жесткий диск этим напрягать?!


У меня моим ж00стким дискам на такое как то пофигу, ибо рейд1, очереди команд и хитачи а не УГ %)

anonizmus
()
Ответ на: комментарий от anonizmus

Так в браузере итак разделение есть - на кэш в памяти и на дисковый, и не факт что во всех браузерах дисковый можно отключить (я просто не знаю а пробовать лень %-)

Firefox: browser.cache.disk.parent_directory

Остальными не пользуюсь.

Короче лажа это все, наверное, делать ридонли для браузера, неудобно будет им пользоваться (например сохранить картинку или файл скачать, нужно будет копировать ссылку и вгетом тянуть каждый раз ? А как смотреть онлайн фильмы, для тех у кого памяти мало, куда они будут буферизироваться ?)

На свап? :) Хотя у тех у кого памяти мало обычно и машинки не особо мощные и смотреть онлайн фильмы вряд ли смогут. А вообще тут нужен разумный компромисс, который соотносится с твоими нуждами (и паранойей)

ogronom
()
Ответ на: комментарий от ogronom

Лучше вообще кэш браузера отключить (есть же squid). Огнелис любит с кэшем какие-то чудеса вытворять...

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Ramil

>Не ну чо правилно, ты кочал то Зверя там же это, все уже настроено, ну типо вконтактики однокласники твиттеры и всякие там яндексбары!

ога.зборка риальная все есть пороль от контакта сразо на всю систему ставитца што ни где вводит ненадо!

petrosyan ★★★★★
()
Ответ на: беда от qbbr

>удаляем JAVA plugin у ff...

лучше комп выключи. и шапку одень. жестяную.

r ★★★★★
()
Ответ на: комментарий от Enoch

ну почти, чтобы пошли вирусы, надо через линуксатор запустить вайн, а через него уже яву, но есть шанс что вирусы заблудятся, добираясь до твоей системы.

RedPossum ★★★★★
()
Ответ на: комментарий от Enoch

и обязательно freebsd доолжна быть под явовским виртуалбоксом запущенным под макосью, которая в своб очередь запущена под виндами. Только и только в этом случае будет работать даный червь типа «неуловимый джо».

daemonpnz ★★★★★
()
Ответ на: комментарий от daemonpnz

>и обязательно freebsd доолжна быть под явовским виртуалбоксом запущенным под макосью, которая в своб очередь запущена под виндами. Только и только в этом случае будет работать даный червь типа «неуловимый джо».

Ну мне тогда нечего бояться, у меня FreeBSD на реальном железе :) А вот линуксоидааааам...

Enoch
()
Ответ на: комментарий от daemonpnz

а это собственно вся css-ка
для каждого ника своя строка :)
для лисы будет что-то типа

@-moz-document domain("www.linux.org.ru"), url-prefix("http://www.linux.org.ru/")

{a[href="/people/ник/profile"]::after { color:#000000;content: " - характеристика " }
}

megabaks ★★★★
()
Ответ на: комментарий от RedPossum

>запустить вайн, а через него уже яву

Вот оно значит как в Линуксе Ява работает :)

Не, ну а серьезно? Пойдет вирус под FreeBSD аль нет?

Enoch
()
Ответ на: комментарий от Trojan_Winlock

>>А вот с такими шедеврами, как ZeuS или 64-битный!!! BackDoor.Tdss - действительно не просто справится даже чистоплотному юзверу Винды.

АХАХХАХАХХААХАХХАХАХА

tazhate ★★★★★
()
Ответ на: комментарий от Enoch

должен. ставь яву(для этого не нужен линуксатор, в отличии от всего остального), дуй в фейсбук, и жди. и не забудь разрешить «вирусу» сделать с твоей системой всё, что он захочет, когда он попросит.

RedPossum ★★★★★
()

И тут набежали линуксоиды с вопросами: «где скачать и как запустить». Это был типичный олбанский вирус...

ignik
()
Ответ на: комментарий от Bod

у меня ощущение - он и не думал, что это произведет такой резонанс на тему бубунты.

сам небось про убунту из новости узнал о своем же вире :)

tazhate ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.