LINUX.ORG.RU
ФорумTalks

Эпидемия вируса в скайпе?

 , , ,


1

1

Последние 3 дня творится какая-то фигня.

Отец получил от знакомого сообщение в скайпе, вместе с файлом (якобы картинка), имеющего двойное расширение (как это ново, ага) .jpg.exe. Отображение расширений для зарегистрированных типов файлов отключено, да.

Механизм распространения гадости приблизительно такой (я не аналитик, и такие вещи не очень хорошо знаю): изначально кто-то заразился (может схожим образом, а может и нет), распространяемый файл является загрузчиком (77-80 кбайт), который запускается как служба, загружает ещё 3 файла. Все файлы прячутся в C:/users/username/appdata/local/temp, один прячется сразу в C:/windows/temp/, и друг друга прикрывают (т.е. файл-вирус удалить сразу не удаётся, я использовал unlocker). Оттуда они прописываются в автозагрузку (3 элемента). Последняя ступень и главная причина всей этой фееричности - это bitcoin-miner, производитель ufasoft, который грузит проц на 100% (от чего комп дико тормозит), причём его имя генерируется случайным образом (длинная абракадабра, порядка 10-12 символов), но генерируется только один раз (т.е. после удаления из автозапуска и удаления самого файла он создаётся снова, но с тем же именем).

Один файл получает доступ к API skype, и ведёт от имени новой жертвы свою рассылку (текст и передача файла).

Гадость вычистить несложно, но муторно, благо вся гадость прячется преимущественно в темпе, а любой автозапуск из темпа - потенциальный вредитель.

В общем, это я к чему. Судя по ufasoft, этот самый bitcoin-miner имеет исходники и для линукса. А учитывая наличие скайпа в линуксе, который тоже не без дыр (ms же), его API может быть использовано аналогично для рассылки; вряд ли у многих стоит noexec на /home => запустить какой-нибудь .sh вполне возможно, и даже не потребуется рутовых прав, насколько я понимаю.

Будьте бдительны.

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

★★★★
Ответ на: комментарий от derlafff

Не догнал. Для запуска всякой полусомнительной фигни есть виртуалки. Ну или из /Files который временно можно перемонтировать с exec.

Я вообще в хомяке ничего не держу, а всякие запускалки лежат в /Files, который на другой партиции.

partyzan ★★★
()
Ответ на: комментарий от ekzotech

разрешил левому софту доступ?

А левый софт не может ли имитировать нажатие кнопки на клаве для подтверждения? В этом случае пользователь и не заметит, что там такое мелькнуло на экране.

unC0Rr ★★★★★
()
Ответ на: комментарий от alozovskoy

Пойдут в жаббер, начнут слать вирусню в жаббере. Продолжать? Только вот в текущем исполнении скайп лучше жаббера.

Mitsumi
()

tl;dr, виндопроблемы, ненужно.

AlexCones ★★★
()
  • Пересадить отца под обыного пользователя?
  • Запретить исполнятся файлам из домашнего каталога пользователя.
leonidko ★★★★
()
Ответ на: комментарий от valentin_v13

Чтобы пользователи не спрашивали «Ой, а почему у картинки сзади какие-то непонятные некрасивые букафки, а когда я их стираю ничего не работает?!»

А как же они во времена windows 3.x жили?

cvs-255 ★★★★★
()
Ответ на: Касперский, перелогинься от Turbid

Сейчас десктопов (не говоря уже о всем остальном) на linux в 100500 раз больше чем в 1995 на DOS/Win95, однако, тогда под эти ОС опасных вирусов было тьма.

Тогда вирусы были другие. Их целью было подшутить/надругаться над пользователем. О рентабельности этой чуши никто не думал разумеется. Сейчас у дряни явно коммерческая направленность. Зомби сети для накручивания рейтингов в соцсетях, спам сети, кейлоггеры. Всё это пишется на заказ, на всём этом делаются деньги, так что вопрос о рентабельности разработки вируса для Линукс поднимался не один раз.

lenin386 ★★★★
()
Ответ на: комментарий от lenin386

И что рентабельней поломать в поисках нужной информации, десятки рабочих станций на Windows, или один сервер Linux?

Turbid ★★★★★
()
Ответ на: комментарий от derlafff

В хомяке не нужно держать важные вещи вроде кода по работе. как бы.

хотя твой кавычкокод в хомяке только и держать!11

cdshines ★★★★★
()
Ответ на: комментарий от ekzotech

В большинстве случаев у пользователей есть авторан.

В большинстве случаев у пользователя нет авторана с флешки. Авторан с флешки только у дибилов, отключивших обновления венды. Проходил патч, вырезавший авторан с флешки, года 2 назад, по-моему.

lenin386 ★★★★
()
Ответ на: комментарий от cdshines

В хомяке не нужно держать важные вещи вроде кода по работе. как бы.

А где еще держать и запускать код? Вот пишешь ты программу. Надо ее оттестить. Как ты это предлагаешь?

cvs-255 ★★★★★
()
Ответ на: комментарий от cdshines

В хомяке не нужно держать важные вещи вроде кода по работе. как бы.

А где их тогда держать?

derlafff ★★★★★
()
Ответ на: комментарий от ekzotech

Вообще, в идеале было бы клёво, чтоб этого владельца биткоин-зомби-сетки забанили и обнулили всё «намайненное» бабло.

Даааа ? А как быть с одминами, которые намайнили бабло за счёт организации, в которых трудятся, просто потихоньку поставив всем майнер ? Понимаешь в чём дело. Если майнить биткойны честно, на своей технике, за своё электричество, то будешь только в минусе. Соответственно, почти все биткойны намайнены тем или иным образом нечестно - с помощью воровства электричества и выч. ресурсов. Предлагаешь забанить все биткойны ?

lenin386 ★★★★
()
Ответ на: Касперский, перелогинься от Turbid

Для написания вируса под ДОС знаний нужно на порядок меньше, чем под современные системы. Настоящие вин вирусы появились далеко не сразу.

greenman ★★★★★
()
Ответ на: комментарий от Turbid

И что рентабельней поломать в поисках нужной информации, десятки рабочих станций на Windows, или один сервер Linux?

А почему ты думаешь, что линукс серверы не ломают ? Их отлично ломают, и почти все спам сети состоят из ломаных линукс серверов. Просто их ломают не через скайп, потому что, как ты наверное догадываешься, за сервером редко кто сидит и трепется с тёлочками.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от unC0Rr

А левый софт не может ли имитировать нажатие кнопки на клаве для подтверждения? В этом случае пользователь и не заметит, что там такое мелькнуло на экране.

Я не в курсе. Суть в том, что по какой-то неведомой причине этот «рассыльщик» глюкнул, выдал ошибку, в результате чего в скайпе наверху появилось окошко «разрешить доступ 731333.exe?». И появилось это когда я подключился. Аура или ещё что - я хз. Но именно так спалилось. А до этого, по заявлению пользователей, такой надписи не было раньше.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от leonidko

Пересадить отца под обыного пользователя?

Если это мне - отец на винде, и переезжать не хочет. Хотя 2 недели сидел на убунте.

Запретить исполнятся файлам из домашнего каталога пользователя.

Винда вряд ли такое умеет.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от lenin386

Проходил патч, вырезавший авторан с флешки, года 2 назад, по-моему.

Хм, не слышал. У меня авторан выключен везде. И на всякий случай в венде всё открываю через ПКМ - «Открыть».

ekzotech ★★★★
() автор топика
Ответ на: комментарий от lenin386

Предлагаешь забанить все биткойны ?

Нет, только такие, кто через вирус. Поставленные админами - это одно дело, всё-таки. Это дело админа и директора фирмы - захочет, пусть разбирается. А когда массовая рассылка, да ещё с использованием уязвимостей.. Йайцы оторвать и делов.

ekzotech ★★★★
() автор топика

Кросплатформенные вирусы на API прикладных программ — это сильно. На своем компе скайп к чертям выпилен, файлообмен веду через почту/вк/дропбокс, для общения использую imo.im

Kor03d ★★
()
Ответ на: комментарий от cdshines

если noexec на хомяке

ну, нить была как раз о вопросе нужности noexec на хомяке

derlafff ★★★★★
()
Ответ на: комментарий от Kor03d

И да, желтизна в заголовке. Btw, скайп под линью свой API только при подтверждении пользователя предоставляет.

Kor03d ★★
()

как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

Отца-то? Просто вспомни, где он живет.

Igron ★★★★★
()
Ответ на: комментарий от i_gnatenko_brain

1. скальп не нужен

Уже обсуждалось и не раз.

2. Как оно автоматом сделает себе executable ?

Хз, мало ли.

И вообще, был же эксплойт на повышение прав, почему бы не запилить какую-нибудь такую лабуду?

И эта, всегда ли бит сбивается, когда файл передаётся?

// Диванный, да

ekzotech ★★★★
() автор топика
Ответ на: комментарий от cvs-255

А как же они во времена windows 3.x жили?

Пользователей win3,1 было на порядки меньше чем сейчас линуксоидов

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от Kor03d

Кросплатформенные вирусы на API прикладных программ — это сильно.

Ну про кроссплатформенные - хз, фактов нет. Но это же возможно в теории (а может и на практике). Ведь если клиенты виндовс - линукс могут общаться между собой, значит у них, как минимум, схожее API.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от ekzotech

Нет, только такие, кто через вирус. Поставленные админами - это одно дело, всё-таки.

По мне, нет разницы.

Это дело админа и директора фирмы - захочет, пусть разбирается.

Директору делать больше нечего, кроме как за каждым гнусом следить, не подгадило ли оно где. На месте директора, обнаружив у себя в фирме биткойн майнеры, я был бы взбешён не меньше тебя. Но они в каждой второй конторе есть, я уверен в этом.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от Kor03d

И да, желтизна в заголовке. Btw, скайп под линью свой API только при подтверждении пользователя предоставляет.

100% ?

ekzotech ★★★★
() автор топика
Ответ на: комментарий от lenin386

Linux-серверы редко ломают. Чаще всего ломают виндового пользователя, у которого есть админский доступ. Только недавно у клиента вычищал спамбота, реализованного в виде нескольких обфусцированных php-файликов в wordpress'е(к ним POST-запросами слались адреса и текст для спама). Как потом выяснил по логам, взлома сервера не было. Файлы были залиты одним из админов сайта через редактирование темы. Оказалось, пользователь на своей семёрочке максимальной поймал зловреда, который потырил его сохранённые пароли из браузера.

shell-script ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Лучший майнер на CPU, обидно что из-за писателей вирусов его внесут в базы данных антивирусов.

Уже давно внесли, подобный троян ходил по нету год или два назад

nerfur ★★★
()
Ответ на: комментарий от ekzotech

И эта, всегда ли бит сбивается, когда файл передаётся?

Если он был запакован в tar.bz2, tar.gz, etc., то при распаковке он вполне может иметь executable

i_gnatenko_brain ★★★★
()
Ответ на: комментарий от Igron

Отца-то? Просто вспомни, где он живет.

Чинил-то не отцу (у него антивирус вроде всё сделал, а если нет - я уже знаю как лечить). А знакомым, это раз. А во вторых, я имел ввиду мудака, оформившего эту гадость.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от shell-script

Linux-серверы редко ломают.

Редко по отношению к чему ? По отношнению к пользовательским писюкам - да. А вообще, достаточно часто их ломают, достаточно для создания спам сетей.

Чаще всего ломают виндового пользователя

Чаще. Но и ценность взлома пользовательской машинки ниже.

lenin386 ★★★★
()
Ответ на: комментарий от partyzan

У меня noexec на хомяке

И да, тебя это не спасет. Никто не мешает писать вирус на каком-нибудь баше/перле и приписывать запускатор в какой-нибудь .desktop в ~/.config/autostart

derlafff ★★★★★
()
Ответ на: комментарий от lenin386

На месте директора, обнаружив у себя в фирме биткойн майнеры, я был бы взбешён не меньше тебя.

Может и так. Просто 100% нагрузка на ЦП нонстоп - это адовые лаги. И хз, что будет с процем через 5-6 часов такой «работы». По идее не должно быть ничего, но это же вроде а-ля cpuburn выходит, нет?

Но они в каждой второй конторе есть, я уверен в этом.

Хз, я про установку на рабочие компы впервые слышу. А так слышал про «фермы» на радеонах.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от ekzotech

Пересадить в аккаунт с меньшими правами. В винде это группа Пользователи. Если не ставить программы 100500 раз в день, то нормально. Для офисной работы, интрнетов, скайпика и игр с головой хватает. На учётку с админскими правами поставь пароль и объясни, что ей лучше не пользоваться кроме как для установки/обновления программ/драйверов/устройств.

Запретить исполнять файлы тебе поможет gpedit.msc. Хз, есть ли такое в семёрочке. В хрюшке было.

leonidko ★★★★
()
Ответ на: комментарий от i_gnatenko_brain

Если он был запакован в tar.bz2, tar.gz, etc., то при распаковке он вполне может иметь executable

Хз, я не хороший специалист в этом плане. Если всё так надёжно на архитектурном уровне - тогда бояться, конечно, нечего.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от leonidko

Пересадить в аккаунт с меньшими правами. В винде это группа Пользователи. Если не ставить программы 100500 раз в день, то нормально.

Всегда так делаю. Тем не менее, винда слишком ущербна в плане безопасности. Всё равно зловреды ловятся, даже если внимательно смотришь, что за файл/процесс просит права админа.

Запретить исполнять файлы тебе поможет gpedit.msc. Хз, есть ли такое в семёрочке. В хрюшке было.

Спасибо за совет.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от lenin386

Редко по отношению к чему ?

В принципе редко. Я же не сказал, реже, чем. Зачем ломать сервер, если легче сломать админа?

Но и ценность взлома пользовательской машинки ниже.

Ты не прочитал мой пост. Взломали виндового пользователя, имеющего админский доступ к linux-серверу(в моё конкретном примере только к CMS, но суть та же). Посмотри за последние пару лет новости о взломах серверов. Только одна - взлом вовремя не обновлённого wik-движка(за что админам надо руки оторвать). Всё остальное - уведённые ключи ssh или подобные кражи идентификационной информации с админской машины(читай, пользовательской). Сломать именно сервер сильно тяжелее.

shell-script ★★★★★
()
Ответ на: комментарий от ekzotech

Там всё запутанно, но вроде напрямую интересующую тебя функцию настраивает secpol.msc.

leonidko ★★★★
()
Ответ на: комментарий от Ok

Кстати, кто-нибудь может мне объяснить, почему уже больше тысячи лет в винде по умолчанию скрыты расширения?

на винфак

zolden ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.