LINUX.ORG.RU
ФорумTalks

Появился под Linux вирус - OrBit

 , , ,


0

2

It-компания Intezer Labs опубликовала отчёт о новом вирусе для платформы Linux, которому присвоено название OrBit. Данный вирус успешно похищает информацию с заражённых ПК, и с трудом поддаётся обнаружению при сканировании антивирусным ПО.

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD, причём использует сразу два способа загрузки вредоносной библиотеки: добавляя общий объект в файл конфигурации загрузчика или внося в него модификации напрямую.

OrBit способен перехватывать управление ключевыми функциями системы, вести сбор и запись данных аккаунтов, а также предоставлять злоумышленникам возможность удалённого доступа через SSH к заражённым машинам. Чтобы избежать обнаружения, хакерское ПО маскируется под системные службы, становясь почти невидимым для антивирусов, коих под linux нет.

Разработчики систем защиты уже начали вносить OrBit в базы данных своих приложений. Реакция разработчиков программного обеспечения по вопросу закрытия уязвимости и номер CVE не сообщаются.

Пруфлинк

Перемещено shell-script из security



Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от Vadim59

Как заразить компьютер с виндой знаю,достаточно вставить флешку с вирусами или скачать зараженный файл. Как подцепить вирус на Linux понятия не имею,может кто научит?Где его взять и как запустить?Специально что-ли?

Ну про вставить флешку глупости.

А так оставляешь ssh по белому ip с логином root и пустым паролем и ждёшь.

fornlr ★★★★★
()

Вирус атакует компьютеры, изменяя переменную среды LD_PRELOAD, причём использует сразу два способа загрузки вредоносной библиотеки: добавляя общий объект в файл конфигурации загрузчика или внося в него модификации напрямую.

Т.е. я должен отключить selinux/apparmor/rkhunter и запустить его ручками из-под рута. Хорошо.

shell-script ★★★★★
()
Ответ на: комментарий от cadaber

винде - все с правами администратора, поэтому и бардак такой. =)

Бред. Ты опердунел со воемён Windows xp

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Бред. Ты опердунел со воемён Windows xp

Во-во. UAC появился еще во времена дристы, а линуксоиды все еще пытаются приучать виндузятников к user-аккаунтам. Хотя у самих уже есть sudo...

ipkirill21x
() автор топика
Ответ на: комментарий от fornlr

У тебя роутер скорее всего на линуксе, скорее всего с устаревшей неподдерживаемой прошивкой и дырявый как решето и достаточно походить на любой порносайт чтобы в твоем линукс боксе завелось непонятно что.

untitl3d
()
Ответ на: комментарий от untitl3d

Цитату забыл поставить 🤨

Ну нет. Прошлый роутер был на BSD, текущий постоянно обновляется. Но это и ответ «почему так дорого?!! 35 тысяч рублей за роутер? У меня ПК столько стоит.».

А дешманские роутеры бывает и так.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от untitl3d

Списанные уже Apple Airport делались на основе NetBsd. Их в 2020 только рутанули кстати 🙂

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от mx__

mx_, не обращай внимания, это обычная фанера.

Впомни, мы возможность подобного обсуждали, в комнате fedora, ещё лет наверное 15 назад :) (в Jabber.ru).

Удивительно, почему такие новости пропускают.

PS: Помню для OS/2 тоже было целых пять вирусов. У меня они все есть на одном из дисков. С версии 1.3 и в WARP, MERELIN, AURORA, и потом уже в не IBM версиях, до 1.2.5 релиза включительно, я не смог ни один из них запустить или как бы то ни было активировать. А там ведь оффтопик, ибо проприетарная ОС, хоть и не форточки конечно. И что-то в FIDO сообществе никто не смог, только посылали все пять друг другу, вдруг у кого получится :) Не получилось ни у кого…

Mamluk
()
Ответ на: комментарий от untitl3d

Предварительно, отключив дефолт -t filter -P INPUT DROP на WAN-интерфейсе.

shell-script ★★★★★
()
Ответ на: комментарий от Aceler

Поддерживаю. Это явно желтизна.

Кто знает устройство современной ОС Linux, тот не поверит. Ибо это фанера, чистой воды, неизвестно кем и для чего запущенная.

Оксюмурон какой-то, а не новость, имнхо.

Mamluk
()
Ответ на: комментарий от fornlr

Ну на линуксе ты уже не будешь скачивать файл с расширением torrent.exe

А hashcat в том же рачике в комьюнити репе есть.

AleksK ★★★
()
Ответ на: комментарий от Mamluk

Это явно желтизна.

Ну так вот эту «желтизну» распихивают даже по серьезным порталам, вроде 4pda.ru. Они-то уж точно должны знать, как пингвин устроен, но... Не пришло ли время ЛОРу вновь проявить героизм и «осадить» очередного Дениса Попова в лице Intezer Labs? А сюда было запощено, чтобы знали, что такое публикуется и распускается по СМИ, если это действительно «желтизна».

ipkirill21x
() автор топика
Последнее исправление: ipkirill21x (всего исправлений: 3)
Ответ на: комментарий от shell-script

Да, оно, кажется, не эксплуатирует никакой дыры для эскалации привилегий. Если софт делает то, что ему разрешено, то трудно называть его «зловредом», «вирусом» и т.п.

i586 ★★★★★
()
Ответ на: комментарий от ipkirill21x

Он не проверяет наличие руткитов

Ну да, а наличие руткитов невозможно определить проверкой целостности файлов. Невозможно это. Вот поэтому и антивирусов под Linux нету.

Aceler ★★★★★
()
Ответ на: комментарий от ipkirill21x

Ну так вот эту «желтизну» распихивают даже по серьезным порталам

Открываем «серьёзный портал» и видим там ту же ошибку про LD_PRELOAD.

«Серьёзные порталы» перепечатывают новости друг у друга, вот это новость.

Aceler ★★★★★
()
Ответ на: комментарий от ipkirill21x

Вот так фанеры по интернету и летают. И остальные примеры, приведённые Вами, читал.

Я стал сомневаться, что на 4pda сидят нормальные люди уже лет 7 назад. Но это уже другая тема и за рамками топика, хоть и очень рядом.

Mamluk
()
Ответ на: комментарий от Aceler

Так фанера же чистой воды.

Если помните, то во времена OS/2 было про 5 вирусов под неё, и они у меня есть. Ни под одной версией, с 1.3, от IBM, и до 1.2.5 включительно, что была уже не от IBM, а от eCS, не смог их активировать. И никто не смог. Но фанера, и даже вирусы, были. Так и рассылали друг другу архив с ними, и ни у кого не активировались. Но это уже оффтоп, ибо OS/2 проприетарная. Но вот факт остался фактом.

Mamluk
()
Последнее исправление: Mamluk (всего исправлений: 1)
Ответ на: комментарий от ipkirill21x

Дениска пацан совсем. Мне как-то не пристало даже таких маленьких детей пороть.

Да и сейчас есть уже Васяны, которые подхватили, видимо, его флаг :)

А вот «вирус под Linux» - это уже серьёзнее фанера. Тем более у которого, якобы вот такие вот возможности.

Не знаю уже, смеяться или плакать, над такой фанерой…

Mamluk
()
Ответ на: комментарий от Mamluk

А вот «вирус под Linux» - это уже серьёзнее фанера. Тем более у которого, якобы вот такие вот возможности.

Не знаю уже, смеяться или плакать, над такой фанерой…

Если фанера, то дубасить фанерщиков-первоисточников, а также тех, кто им подпевает (речь о 4пна и прочих мусор-сайтах).

Иначе завтра за пределами ЛОРа будут говорить, что Linux изобрели Перун, Ярило и Сварог.

ipkirill21x
() автор топика
Последнее исправление: ipkirill21x (всего исправлений: 2)
Ответ на: комментарий от Aceler

«Серьёзные порталы» перепечатывают новости друг у друга, вот это новость.

Вот и я о чём, собственно. И тут же резонный вопрос - а сейчас ещё есть серьёзные порталы? Ну кроме узко специализированных и по определённым специальностям, куда с подобной новостью не вылезет никто, из специалистов в тех областях. А вот за попытку вброса, там сразу и жестко очень. Там с жизнью людей связано и законом.

Mamluk
()
Ответ на: комментарий от Mamluk

Вот и я о чём, собственно. И тут же резонный вопрос - а сейчас ещё есть серьёзные порталы?

И я о том же. Пусто как в космосе. Видимо скоро

за пределами ЛОРа будут говорить, что Linux изобрели Перун, Ярило и Сварог.

ipkirill21x
() автор топика
Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от AleksK

рачике в комьюнити

Супер комьюнити профессионального аудита 🤣

Ну на линуксе ты уже не будешь скачивать файл с расширением torrent.exe

И да, многие линуксоиды не брезгуют этим с торрентов

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от ipkirill21x

Вообще, в Linux только один вирус - это тот, что сидит между клавиатурой и креслом. Вот это порой очень опасный и серьёзный вирус. И к нему же можно желтков всех отнести.

Mamluk
()
Ответ на: комментарий от Mamluk

Вообще, в Linux только один вирус - это тот, что сидит между клавиатурой и креслом. Вот это порой очень опасный и серьёзный вирус. И к нему же можно желтков всех отнести.

Оно везде так, если углубится... Быдло - страшная проблема...

ipkirill21x
() автор топика
Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от Mamluk

стал сомневаться, что на 4pda сидят нормальные люди уже лет 7 назад.

Сидят... Там на форуме есть вполне грамотные люди, но правило 95 же. На сайте там фигня всякая, емнип, с рождения и по сегодня.

Dementy ★★★
()
Ответ на: комментарий от ipkirill21x

Да порой не быдло, а просто люди, у которых знаний или не хватает, или излишек, ну и лезут в систему, а результат потом порой ой ой. Вот я их и называю вирусами :)

А тот что в 4пда и.т.д, по ссылкам, это просто фанера от кого-то запущенная. Она может ещё долго летать. Жаль, но молодёжь и параноики, вполне поверят. Ну уж форточники то точно позлорадствуют, если это не от них фанера вообще :)))

Mamluk
()
Ответ на: комментарий от Dementy

Сидят... Там на форуме есть вполне грамотные люди, но правило 95 же. На сайте там фигня всякая, емнип, с рождения и по сегодня.

Ну если этим грамотным людям ещё можно что-то сказать...

ipkirill21x
() автор топика
Последнее исправление: ipkirill21x (всего исправлений: 1)
Ответ на: комментарий от cadaber

А нафига? Чтобы висел в трее и жужжал, чисто для успокоения нервов?

  1. Скачал, проверил, забыл.
  2. Через месяц мания проснулась (или неудалённый DrWeb напомнил) - удалил, и переходим к п.1… =)

и это всё под Линукс Минт?

Psilocybe ★★★★
()
Последнее исправление: Psilocybe (всего исправлений: 1)

а также предоставлять злоумышленникам возможность удалённого доступа через SSH

это значит что он должен держать порт всегда открытым, что может быть проще просмотра открытых портов?

для антивирусов, коих под linux нет.

их не меньше чем под windows, просто смысла в них нет.

не сообщаются.

потому что это «сенсация» которой нет.

e000xf000h
()
Ответ на: комментарий от shell-script

и что ты с этим адресом сделаешь, пойдёшь в полицию?
ну и наивно полагать, что он там «вбит», список тупо скачивается

но это один сценарий, другой - когда этим сервером будет libera.chat, или gmail.com или серверы телеги, матрикса whatever

kott ★★★★★
()
Ответ на: комментарий от w201403

Потому что на этих машинах параноиков хранятся самые интересные штуки. Насколько я знаю, например, гостайна особой важности по закону может только на компах с астралинуксом храниться. Закон конечно не проговаривает, что именно под астрой, но она на текущий момент вроде как одна сертификацию полностью прошла.

peregrine ★★★★★
()
Ответ на: комментарий от fornlr

Как минимум, uac не запрашивает пароль. Так что да, uac на ноутах и компах в помещениях без видеонаблюдения - плохо. Физический взлом, пока юзер поссать отошел никто не отменял.

peregrine ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.