Антивирус Касперского для Linux Workstations

Попроси вот этих людей, если договоритесь о цене, они нарисуют тебе кнопочки :)

много вирусов из за популярности ОС

1. Встраиваем в ОС поддержку вирусов.
2. Пишем вирус, использующий эту поддержку.
3. Включаем поддержку вирусов в настройках ОС.
4. Запускаем установщик вируса.
5. ???
6. PROFIT!

>много вирусов из за популярности ОС
учи матчасть!

попробую убедить ссылкой...

не убедил!
хде мне их взять погонять?
и на 35-36-37-ых ядрах с гцц 4.5.1 они соберутся?
а как их прописать в автозапуск?
короче - повторяю - учи матчасть, прежде чем постить такой бред!

http://www.securelist.com/en/descriptions/old21759

Virus.Linux.ZipWorm

Detected    Jan 04 2001 21:00 GMT

Released    Jan 04 2001 21:00 GMT

Published    Jan 09 2001 10:26 GMT

Technical Details

It is harmless Linux virus affecting ZIP archives.

When the virus is run, it looks for ZIP archives in current directory and add its copies to there. While infecting the virus does not use any external ZIP processing tool, but parses ZIP internal formats by itself. The virus files in archives have one of five possible names:

Ten motives why linux sux!

Why Windows is superior to Linux!

Is Linux for you? Never!

Is Linux immune to virus? NO!

zipworm!

The virus also contains the «copyright» text:

elf zip worm vecna

http://www.securelist.com/en/descriptions/old21703

Virus.Linux.Alaeda

Detected    Aug 11 2003 18:35 GMT

Released    Aug 11 2003 18:35 GMT

Published    Jan 11 2007 13:07 GMT

Technical Details

Alaeda is a non-resident virus. It infects systems running Linux, and is written in Assembler. It infects ELF format files in the current directory.

When infecting, the virus modifies the entry point of the original file, passing control to the infection routine. It modified the file's ELF header. Before infecting, the victim machine will be checked to see if it can be infected. The .text section of the file to be infected must be of a minimum size for malicious code to be injected.

The virus writes its body to the .text section; the size of the infected file will not change, making it harder to detect infection.

Once the virus body has delivered its payload, control is returned to the program code.

Repeat infection of an already infected file is prevented by a "!" flag placed in a reserved, unused byte which is not used by the interpreter in the ELF header at offset Fh.

The following strings can be found in infected files:

AL-QAEDA 1-02-032 With help of Allah I will die for Allah

сам учи матчасть...

ололо
а теперь ответь на вопросы про то как собрать и кто его будет запускать?
вредоносную программу написать не проблема!
вспомни однострочник на перле!
так что продолжай учить матчасть!
я тебе открою большую тайну - вирусы зародились в никсах
однако когда задумались о безопасности, они вымерли как класс!
короче - вот когда дашь ссылку, пройдя по которой я заражу свою генточку, или когда дашь линк на файл, записав который на флэшку я заражу свою генточку...вот тогда и поговорим!
а пока это всё чушь собачья, а не вирусы!

ты не уловил моих мыслей... я с тобой согласен, что на ДАННЫЙ момент все «в шоколаде», я говорю про другое немного, а именно про то, что с УВЕЛИЧЕНИЕМ количества пользователей увеличится количество вирусов

и будут они не такие простые как сейчас...

на винде 95 раньше тоже было мало вирусов и они были простые, вспомни молодость

ты пойми - кол-во компов вообще не важно!
пока нет автозапуска, пока есть разграничение прав - ни о каких вирусах можно не думать!
вот если убунта начнёт работать от рута, то да
однако это проблемы убунты будут, а не линя вообще
да и даже от рута убунта - автозапуск произвольного говна надо будет ещё прикрутить, типа autorun.inf в венде...
короче чушь это всё

на винде 95 раньше тоже было мало вирусов и они были простые, вспомни молодость

Вспомни про бэкдор, по поводу которого МС сказала: «Нам он не мешает, пусть будет».

автозапуск произвольного говна надо будет ещё прикрутить

И тогда ещё не всё так печально, можно же и открутить взад, причём решительнее, чем в оффтопике.

ну в офтопике, по крайней мере в хрю - 2 ключа в реестре и его как не бывало
правда их ещё найти надо ) ибо они в 2-х разных ветках - одна про софт, другая про железо...

А бэкапы делать не? Да и гуй - ненужен.

> 2 ключа в реестре

Там 7 (или 8) ключей в реестре, которые включают возможность авторана )

тех 2-х достаточно, что бы отрубить автозапуск

Ну это параноя !

Я таки намекаю на монтирование с noexec. Ибо не хрен запускать левака вообще.

Just because you (don't) think everyone is after you doesn't mean they're not.

>пока нет автозапуска
Дыры в браузерах/etc, позволяющие выполнить код никто не отменял.

вот если убунта начнёт работать от рута

Если вспомнить недавнюю историю с ядерными эксплоитами, вообще станет хорошо.

Это, походу, не паранойя, а трололо.

Ваш зайчик писал.

Не паранойное трололо а довольно серьезный вопрос

К тому же ещё и семён

У меня вопрос - как заразить систему под Linux ? Ну кроме как специально.

нужно обмануть юзера так чтобы он его запустил)я так понимаю как с ситуацией для телефонов с операционной системой андроид, пользователь скачивает игрушку запускает играеться а на самом деле от него начинают уходить денюшки по смс,то есть начинает скрыто выполняться скрипт или что там обычно бывает?) примерно также я думаю можно с делать со следующим вирусом:

http://www.securelist.com/ru/descriptions/old21734

Ну 1. - Это для начала должно быть желание пользоваться подобными вещами.

И 2. - Антивирус не спасёт.

если голова у юзера на месте, то и в оффтопике без антивируса можно прожить спокойно.

а если не на месте, то смена ОС не спасёт:)

>допустим вирус постучался в комп
Отдел фантастики на втором этаже.

с гуем ввыскочит табличка с выбором действий, выбор решения займет несколько секунд

Эти несколько секунд + переключение контекста отнимаются от работы. Это много.

без гуя каким образом я должен знать что творится?

tomoyo делает подробные логи, если так хочется. Да и не только оно. И learning mode там есть. И при желании можно руками разрешать/запрещать действия. Зачем нужно закрытое убожество с заведомо нерабочим сигнатурным поиском?

>Дыры в браузерах/etc, позволяющие выполнить код никто не отменял.
Песочницы и selinux/apparmor/tomoyo, решающие эту проблему, никто не отменял.

> линупсом

Дата регистрации: 20.11.2010 10:40:11

Из яслей ещё не вышел, а уже слово «линукс» коверкаешь. Далеко пойдёшь, ага :)

>Я таки намекаю на монтирование с noexec.
ну это да - вкусно :)

пока что это теория
на практике вирей нет :)

> на винде 95 раньше тоже было мало вирусов и они были простые, вспомни молодость

память у тебя короткая как я погляжу, от вирусов тогда страдали ничуть не меньше чем сейчас

ты возраст человека определяешь по дате регистрации??? раньше только читал лор посмеиваясь над говнометательством

У Вас вендостерия. Срочно зайдите в кабинет логопеда и пройдите необходимые процедуры.

>на винде 95 раньше тоже было мало вирусов и они были простые

Особенно Win95.CIH))

Пробовал давно, итак ради нечего делать, запускай в кансоли - у него гуй консольный псевдографика

> допустим вирус постучался в комп

мое воображение рисует разные образы сего действия
... стоит вирус в сетевом кабеле (на входе в сетевую карту) и долбит клешней по светодиоду, а другие забрались уже в корпус и катаются на вентиляторе процессора, их тошнит на память ...

что с УВЕЛИЧЕНИЕМ количества пользователей увеличится количество вирусов

У многих вендузятнегов это уже мантра: «на линуксе мало вирусов, потому что небольшой количество пользователей»...

Не стоит забывать, что линукс - прежде всего ядро для серверных ОС, где хранятся/обрабатываются данные на порядки дороже и важнее, чем на десктопах.

Поимев линукс на серверах, много получить больше профита, чем просить юзера отправить смс и заплатить 300 рэ. Почему же, вирусописатели предпочитают писать вирусы именно под венду, чтобы получать крохи, вместо того, чтобы писать для линукса ради крупного куша?

Поимев линукс на серверах, много получить больше профита, чем просить юзера отправить смс и заплатить 300 рэ. Почему же, вирусописатели предпочитают писать вирусы именно под венду, чтобы получать крохи, вместо того, чтобы писать для линукса ради крупного куша?

потому что все хомячки сидят на венде, в этой стране это почти 90 процентов населения, некоторые даже пользоваться офисом не умеют, и всерьез думают, что отправив смс они вылечат свой комп :))). что выгодней и проще? получить с каждого идиота по 300 рублей или сидеть взламывать юникс?

На десктопе линукс антивирус (а тем более Каспер) реально не нужен.

А вот у нас в банке на почтовом сервере висит демон (сервис) Касперского и режет присылаемые вирусы в телах писем. Почтовик - exim4. В принципе KAV работал вполне сносно, обновлялся по скрипту и вроде даже не глючил. (Я щас там не работаю)

> Почему же, вирусописатели предпочитают писать вирусы именно под венду, чтобы получать крохи, вместо того, чтобы писать для линукса ради крупного куша?

Будто сервера не имеют :-( DreamHost вот только вчера/позавчера поимели, до этого история с GoDaddy была. Понятно, что в большинстве случаев — это кривые руки хостеров и дырки в приложениях, но их клиентам от этого не легче. Пусть рута и не везде получают, но и от простого пользователя тоже немало можно натворить: та же рассылка спама, участие в DDoS и т.п.

Понятно, что это проблемы не столько Linux, сколько настроек/стороннего софта, но я за последнюю неделю не один десяток серверов почистил от всякой гадости.

PS — справедливости ради: из коллекции отловленных на серваках шеллов/эксплойтов (порядка сотни) clamav обнаружил один экземпляр шелла C99, последний же Dr. Web CureIt не обнаружил ничего.

>линупс

Мне честно говоря пофиг, но если вы задаете серьезный вопрос и хотите получить на него серьезный ответ, то будьте взаимно вежливы к тем, кому задаете вопрос.

Пока что, единственное, что я могу вам сказать: КЛБ! СРОЧНО!

>как заразить систему под Linux

Дыра в ядре или прикладных программах, работающих из под рута, не?

>если голова у юзера на месте, то и в оффтопике без антивируса можно прожить спокойно.

+100500. Полностью согласен

>справедливости ради: из коллекции отловленных на серваках шеллов/эксплойтов (порядка сотни) clamav обнаружил один экземпляр шелла C99, последний же Dr. Web CureIt не обнаружил ничего.

Это конечно не показатель, но настораживает. Я был о clamav несколько худшего мнения, хотя как антивирус для почтовика использую обычно его.

но я за последнюю неделю не один десяток серверов почистил от всякой гадости.

Можете поделиться названиями «гадости», хочу расширить кругозор ;)

Чтобы я знал, как оно официально называется… Несколько различных модификаций c99shell, эксплойты, используемые хакером по имени iskorptix, для повышения привилегий (Linux sock_sendpage() NULL pointer dereference, udp_sendmsg bug exploit via (*output) callback function, CVE-2009-2692, ptrace_attach privilege escalation exploit, cve-2009-1185, CVE-2009-0065 SCTP FWD Chunk Memory Corruption, какая-то хрень, повышающая привилегии через vmsplice syscall (есть подозрение, что это та самая уязвимость с 32-битным кодом на 64-битных системах), какая-то непонятная exploit lib, которая загружает эксплойты в виде .so-библиотек, эксплойт, использующий уязвимость в реализации протокола bluetooth через socket(PF_BLUETOOTH, SOCK_DGRAM, 0), и еще куча всяких, которые мне было лень декомпилировать).

> нод пару раз подводил, приходилось сервер с нуля поднимать

Клинический вендоадмин детектед. ТС, Вы - идиот. Это диагноз, не оскорбление. Не лезьте своими грязными лапками в презираемый Вами «линупс», нервишки целее будут.

З.Ы. Дайте угадаю, «сервер» - это запинанный писюк под ногами у секретарши, на к-ром стоит краденый 2003-й, пара быдлопрограммок, вроде описанных, и на который все ходят под админом?

Клинический вендоадмин детектед. ТС, Вы - идиот. Это диагноз, не оскорбление. Не лезьте своими грязными лапками в презираемый Вами «линупс», нервишки целее будут.

З.Ы. Дайте угадаю, «сервер» - это запинанный писюк под ногами у секретарши, на к-ром стоит краденый 2003-й, пара быдлопрограммок, вроде описанных, и на который все ходят под админом?

не буду в твой адрес ничего ругательного писать, ибо «не спорьте с дураками, люди могут не заметить между вами разницы», скажу лишь, что сервер находится в серверной, где он и должен находится, на котором стоят лицензионные проги... и пожалуйста оставьте при себе свои «догадки», они далеки от истины

linux я не презираю, я просто к нему скептически отношусь

> скажу лишь, что сервер находится в серверной, где он и должен находится, на котором стоят лицензионные проги...

Ну объясни же мне, родной, _как_ ужасные злобные вирусы (из-под пользовательских акков, да? ;)) смогли два (!) раза насмерть уронить систему при работающем антивирусе?! Или ты на этом «сервере» эксперименты по разведению 0-day exploits ставишь?

krang> допустим вирус постучался в комп, с гуем ввыскочит табличка с выбором действий

ага, и firewall такой же нужен! постучался пакет — выскочило окошко «Шоделать?!».

И конпелятор — не дай бог ошибка где при сборке генты, тоже чтоб окошко.