Кроссплатформенный вирус (Linux, Windows, MacOS)

2

3

Компания F-Secure сообщает об обнаруженном вирусе, способном поразить рабочую станцию, работающую под любой популярной ОС.

Сам вирус представляет из себя Java-апплет, который присутствует на пораженных сайтах. При этом апплет подписан самодельным сертификатом, что требует от пользователя согласиться с установкой подозрительного программного обеспечения.

После активации плагин определяет используемую пользователем ОС и в зависимости от этого скачивает с сайта злоумышленника исполняемый бинарный файл. Судя по всему, JAR-файл подготовлен с помощью Social-Engineer Toolkit.

Пользователям MacOS подготовлена сборка вируса лишь для платформы PowerPC, в связи с чем обладателям Intel-based систем для правильной работы вируса предлагается установить Rosetta.

Скачанные исполняемые файлы детектируются как:
Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

Подробности

Перемещено Aceler из security

Ссылка

←	Razer Switchblade - компактная игровая консоль

О принципах модерирования популярных форумов

→

← 1 2 →

Ответ на: комментарий от trex6 11.07.12 15:48:59 MSK

По слухам в linux все работает изкоробки.

о нет, оно само делает emerge oracle-jre-bin?

devl547 ★★★★★
(11.07.12 16:50:02 MSK)

Ссылка

что опять? Кто знает, Линус уже выпустил патчик для ядра, чтоб эта штука в линуксе заработала?

firsttimeuser ★★★★★
(11.07.12 16:51:30 MSK)

Ответ на: комментарий от trex6 11.07.12 16:49:47 MSK

понятно, спасибо

~~xtraeft~~ ★★☆☆
(11.07.12 16:52:13 MSK)

Ссылка

скачивает с сайта злоумышленника исполняемый бинарный файл.

А если у меня arm процессор?

~~erfea~~ ★★★★★
(11.07.12 16:52:22 MSK)

Ответ на: комментарий от firsttimeuser 11.07.12 16:51:30 MSK

не смешно

~~xtraeft~~ ★★☆☆
(11.07.12 16:52:26 MSK)

Ссылка

Ответ на: комментарий от erfea 11.07.12 16:52:22 MSK

Тогда ты «в домике».

trex6 ★★★★★
(11.07.12 16:55:51 MSK) автор топика

Ответ на: комментарий от trex6 11.07.12 16:55:51 MSK

Т.е. сабж настолько уныл, что мне надо поставить жабу, потом включить её в браузере, да ещё и убедиться что мой процессор подходит. Грусть...

~~erfea~~ ★★★★★
(11.07.12 16:58:08 MSK)

Ответ на: комментарий от erfea 11.07.12 16:58:08 MSK

Тяжела и неказиста...
У них даже Mac версия устарела несколько лет назад.

trex6 ★★★★★
(11.07.12 16:59:48 MSK) автор топика

Ссылка

Ответ на: комментарий от teod0r 11.07.12 16:37:38 MSK

что-то не разберусь, этот вирус через яваскрипты передаётся или нет?

Нет, это ява-апплет.

bloodredfrog ★★
(11.07.12 17:04:55 MSK)

Ссылка

Ответ на: комментарий от trycatch 11.07.12 16:45:46 MSK

Джава используется на 0,15% из миллиона самых популярных сайтов

Она вообще используется где-то, кроме клиент-банков всяких?

bloodredfrog ★★
(11.07.12 17:07:26 MSK)

Ответ на: комментарий от xtraeft 11.07.12 16:36:48 MSK

зато ты умудрился блеснуть своими познаниями об устройстве интернета

в каком месте? Или ты действительно думаешь, что я не понимаю разницу между Java и JS ?

~~science~~ ★★☆
(11.07.12 17:08:33 MSK)

Какой же он кроссплатформенный если для каждой платформы свой бинарник? Насколько я понял, кроссплатформенный тут только апплет, который просто скачивает червя, не?

Да и чтоб оно запустилось, юзеру надо подтвердить что он доверяет сертификату. Ну и вообще, быдлокод.

Kalashnikov ★★★
(11.07.12 17:11:30 MSK)

Ссылка

Ответ на: комментарий от bloodredfrog 11.07.12 17:07:26 MSK

Она вообще используется где-то, кроме клиент-банков всяких?

Кое-где используется. В Википедии для показа видео, например, на конге разрешены Java-игры, многие сайты используют химические Java-апплеты типа Jmol.

trycatch ★★★
(11.07.12 18:07:43 MSK)

Ссылка

99% пользователей жаба плугин либо вообще не нужен, либо можно разрешить для горстки сайтов. а дело дистроклепателей сажать жабо-машину в какую-нибудь клетку. щас их много.

anonymous
(11.07.12 18:45:14 MSK)

Ссылка

Ответ на: комментарий от trex6 11.07.12 16:49:47 MSK

После запуска апплета он скачивает троян.

А запускает он его как? Тоже пользователя просит? ;)

Aceler ★★★★★
(11.07.12 18:54:37 MSK)

Ответ на: комментарий от Aceler 11.07.12 18:54:37 MSK

А кто сказал, что он его вообще запускает ;-)

trex6 ★★★★★
(11.07.12 18:55:13 MSK) автор топика

Ответ на: комментарий от bloodredfrog 11.07.12 17:07:26 MSK

Она вообще используется где-то, кроме клиент-банков всяких?

Да, есть классные почтовые морды на Java, покруче всяких gmail.

Aceler ★★★★★
(11.07.12 18:55:20 MSK)

Ссылка

Ответ на: комментарий от trex6 11.07.12 18:55:13 MSK

Ага. По-моему, эта новость больше рассчитана на массовый помёт кирпичей хомячками :-)

Aceler ★★★★★
(11.07.12 18:56:39 MSK)

Ответ на: комментарий от Aceler 11.07.12 18:56:39 MSK

На опеннете было, решил и сюда притащить.

trex6 ★★★★★
(11.07.12 19:00:47 MSK) автор топика

Ответ на: комментарий от science 11.07.12 17:08:33 MSK

судя по всему, да.

~~xtraeft~~ ★★☆☆
(11.07.12 19:02:41 MSK)

Ответ на: комментарий от xtraeft 11.07.12 19:02:41 MSK

судя по всему, да.

IV.II

~~science~~ ★★☆
(11.07.12 19:15:40 MSK)

Ответ на: комментарий от science 11.07.12 19:15:40 MSK

не распарсил

~~xtraeft~~ ★★☆☆
(11.07.12 20:03:36 MSK)

Ответ на: комментарий от xtraeft 11.07.12 20:03:36 MSK

Зато показал незнание римских цифр :–)

Aceler ★★★★★
(11.07.12 20:21:36 MSK)

Ответ на: комментарий от Aceler 11.07.12 20:21:36 MSK

а, я думал это какая то хитрая аббревиатура про жабу

~~xtraeft~~ ★★☆☆
(11.07.12 20:29:06 MSK)

Ссылка

что требует от пользователя согласиться с установкой подозрительного программного обеспечения.

Понятно, следующий!

Andru ★★★★
(11.07.12 20:39:54 MSK)

Ссылка

Еще один koobface?

encyrtid ★★★★★
(11.07.12 20:40:35 MSK)

Ответ на: комментарий от encyrtid 11.07.12 20:40:35 MSK

не фига не понял :( Что разве есть люди кто юзает фф не через сандбокс ?

mx__ ★★★★★
(11.07.12 20:55:10 MSK)

Ответ на: комментарий от mx__ 11.07.12 20:55:10 MSK

Koobface - первый кроссплатформенный червь, тоже написанный на жабе.

encyrtid ★★★★★
(11.07.12 21:08:15 MSK)

Ссылка

Ответ на: комментарий от trex6 11.07.12 19:00:47 MSK

Да ну, это только пугать народ, не смешно же. Перенёс в толксы.

Aceler ★★★★★
(11.07.12 21:29:20 MSK)

Ссылка

Тоже мне вирус. Чем это лучше простого предложения скачать и запустить неизвестный бинарник?

drull ★☆☆☆
(11.07.12 22:00:31 MSK)

что требует от пользователя согласиться с установкой подозрительного программного обеспечения.

алсо, у меня java-апплеты просто не работают

derlafff ★★★★★
(11.07.12 22:02:01 MSK)

Ссылка

Java-апплет

Хрена с 2 он заработает!

апплет подписан самодельным сертификатом

Ага, ждите!

скачивает с сайта злоумышленника исполняемый бинарный файл

И что, у него под каждую архитектуру, каждую версию glibc и т.п. свой бинарник? Или статическая линковка? Тогда он качаться будет же черт-те сколько!

обладателям Intel-based систем для правильной работы вируса предлагается установить Rosetta

ленивые вирусописатели пошли!

~~Eddy_Em~~ ☆☆☆☆☆
(11.07.12 22:03:01 MSK)

Ссылка

Ответ на: комментарий от drull 11.07.12 22:00:31 MSK

Чем это лучше простого предложения скачать неизвестный тарбол, скомпилировать его и запустить от рута?

fxd

~~Eddy_Em~~ ☆☆☆☆☆
(11.07.12 22:03:31 MSK)

Ссылка

срочно ищу куреит для линукса.

Novell-ch ★★★★★
(11.07.12 22:05:32 MSK)

Когда, наконец, эти линуксы созреют для полноценного развесистого порнобанера вместо бутсплэша? А то сидим тут в емаксах да вимах, а жизнь - настоящая жизнь, где-то рядом и без нас. Люди вон смски на короткие номера отправляют, а у нас до сих пор нужно чего-то патчить , чтоб вирь запустить, да и какой это вирус - так, одно название.

abumbaher ★
(11.07.12 22:46:25 MSK)