LINUX.ORG.RU
ФорумTalks

Эпидемия вируса в скайпе?

 , , ,


1

1

Последние 3 дня творится какая-то фигня.

Отец получил от знакомого сообщение в скайпе, вместе с файлом (якобы картинка), имеющего двойное расширение (как это ново, ага) .jpg.exe. Отображение расширений для зарегистрированных типов файлов отключено, да.

Механизм распространения гадости приблизительно такой (я не аналитик, и такие вещи не очень хорошо знаю): изначально кто-то заразился (может схожим образом, а может и нет), распространяемый файл является загрузчиком (77-80 кбайт), который запускается как служба, загружает ещё 3 файла. Все файлы прячутся в C:/users/username/appdata/local/temp, один прячется сразу в C:/windows/temp/, и друг друга прикрывают (т.е. файл-вирус удалить сразу не удаётся, я использовал unlocker). Оттуда они прописываются в автозагрузку (3 элемента). Последняя ступень и главная причина всей этой фееричности - это bitcoin-miner, производитель ufasoft, который грузит проц на 100% (от чего комп дико тормозит), причём его имя генерируется случайным образом (длинная абракадабра, порядка 10-12 символов), но генерируется только один раз (т.е. после удаления из автозапуска и удаления самого файла он создаётся снова, но с тем же именем).

Один файл получает доступ к API skype, и ведёт от имени новой жертвы свою рассылку (текст и передача файла).

Гадость вычистить несложно, но муторно, благо вся гадость прячется преимущественно в темпе, а любой автозапуск из темпа - потенциальный вредитель.

В общем, это я к чему. Судя по ufasoft, этот самый bitcoin-miner имеет исходники и для линукса. А учитывая наличие скайпа в линуксе, который тоже не без дыр (ms же), его API может быть использовано аналогично для рассылки; вряд ли у многих стоит noexec на /home => запустить какой-нибудь .sh вполне возможно, и даже не потребуется рутовых прав, насколько я понимаю.

Будьте бдительны.

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

★★★★
Ответ на: комментарий от YAR

6970 дает, как уже написал выше, 500 Кх/с.

Согласно этому сайту - 350-430. Ну, положим, 500. ОК, хотя, это неправда.

6990=2*6970 (приближенно, но пусть так). Итого имеем 6 6970-х. Скорость - 500*6 = 3000 Кх/с.

Это ты слишком лихо поумножил. 6990x3 = 2094 Кх/c. Не надо лгать и умножать реальные данные в полтора раза.

1.25*24*30 = 900 КВт/мес. Пусть затраты будут 4.5 c/КВт (беру по своим тарифам). Итого 40$/мес на электроэнергию.

Это что за тарифы такие ? Ты из-за компа хоть раз вставал и платить за что-то пробовал ? 4 рубля в месяц у нас, ~20 центов в США.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 2)
Ответ на: Касперский, перелогинься от Turbid

Я этот бред каждый год слышу. Сейчас десктопов (не говоря уже о всем остальном) на linux в 100500 раз больше чем в 1995 на DOS/Win95, однако, тогда под эти ОС опасных вирусов было тьма.

Даже 10% от общего трафика - НЕ РЕНТАБЕЛЬНО. Повторяю это еще раз.

tazhate ★★★★★
()
Ответ на: комментарий от ekzotech

Так тут лепить не надо даже. API общее, дыра есть, накидать .sh (а то и спрятать .sh и просто chmod +x) - делать нечего же. И антивирусов нету.

Ну так налепи и покажи нам. Мы посмотрим.

tazhate ★★★★★
()
Ответ на: комментарий от YAR

Итого 253$ за 30 дней.

Ну, да. Приврал производительность в полтора раза, высосал из пальца цену за электричество, стоимость видеокарт не учёл, стоимость БП не учёл, стоимость компа не учёл. Риски не учёл. Молодец, эффективный менеджер. Просирай дальше свои деньги.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от lenin386

Согласно этому сайту

Забавно. Считаем LTC, а ссылка на сайт биткоинов. Ок.jpg.

Тебе скриншот вот прямо сейчас работающего майнера привести?

Это что за тарифы такие?
4 рубля в месяц у нас

Рад за тебя, но http://index.minfin.com.ua/tarif/electric.php

YAR ★★★★★
()
Ответ на: комментарий от ekzotech

skype - это SIP + плюшки для обхода NAT

гм, у меня куча знакомых, которые его используют только в качестве IM. Вот таких я точно не понимаю.

demidrol ★★★★★
()
Ответ на: комментарий от YAR

Рад за тебя, но http://index.minfin.com.ua/tarif/electric.php

Население:	 

– за объем, употребленный свыше 800 кВт/час электроэнергии в месяц	95,76

Ну, и что ты мне рассказываешь - ~3.5 рубля, чуть дешеле, чем у нас. О каких 4.5 центах/мес ты говоришь ?

lenin386 ★★★★
()
Ответ на: комментарий от ekzotech

Проблемы виндузятников.

Скайп в линуксе тоже есть.

плюсую звёздочного комментатора, - он, в коем то веке, прав.

AGUtilities ★★★
()
Ответ на: комментарий от YAR

Станет невыгодно - выключишь ферму и положишь карты на полку.

Ну так вот ты это учти в расчётах-то. А то умножаешь ты очень лихо, а вычесть расходы и риски как-то запамятовал.

lenin386 ★★★★
()
Ответ на: комментарий от tazhate

Ну так налепи и покажи нам. Мы посмотрим.

Нишмагу, я маленький ниосилятор, и вообще. Баш знаю плохо, мэдскиллз не проявляю нигде. Я просто обрисовал ситуацию, а конкретная реализация - это не ко мне же.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от ekzotech

Нишмагу, я маленький ниосилятор, и вообще. Баш знаю плохо, мэдскиллз не проявляю нигде. Я просто обрисовал ситуацию, а конкретная реализация - это не ко мне же.

Ну так вот, сам собой ты не запустишь скрипт. Ему права еще нужны ;)

tazhate ★★★★★
()

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

Пропали по IP, будь мужиком.

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от YAR

Вычитаем затраты на электроэнергию, получаем 213$ чистыми.

ОКе, пусть будет так, хотя это враньё. Три топовых радеона - $2000. Остальной комп - $1000. Это минимум, реально - больше. Итого, при твоих же лживых данных, ты будешь окупать железо год и три месяца. Но я гарантирую тебе, что столько на полной загрузке это железо не проработает, обязательно что-то отломается, это железо геймерское, оно на постоянную нагрузку 24/30 не расчитано. Для таких нагрузок надо брать специальные профессиональные решения, они стОят совсем других денег. Прибавь риски обвала курса биткойна. А твоё время на обслуживание этого - ничего не стОит, да ? Зашибись, очень выгодно, ага.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от lenin386

свыше 800

Свыше != весь.

Ок, неудачный пример с потребляемой мощностью - если корректно считать, то нужно считать по трем тарифам сразу. Потому моя ферма и не выходит за 800 КВт/мес, ибо дальше просто невыгодно становится, если все в одном доме размещать.

Но вообще я как бы намекаю, что тарифы везде разные. В России, например, разграничения по потребляемой мощности пока, AFAIK, нет - соответственно, нет лимита для построения большой фермы.

YAR ★★★★★
()
Ответ на: комментарий от lenin386

Три топовых радеона - $2000.

Лихо ты двухпроцессорные топы прошлого поколения по ценам текущих считаешь, лихо...

Остальной комп - $1000

Наверное, для майнинга топовые Intel'овские процы посчитал и RAID из SSD'шек? :D

YAR ★★★★★
()
Ответ на: комментарий от ekzotech

Это принципиальный момент (Штольман предупреждал про проприетарщину, ага), убрать гадость будет несложно, скорее всего, но всё же.

проприетарщина тут вообще ни при чем, механизм распространения может быть любым

xtraeft ★★☆☆
()
Ответ на: комментарий от Turbid

И что рентабельней поломать в поисках нужной информации, десятки рабочих станций на Windows, или один сервер Linux?

в контексте этого треда - рентабельнее поломать десятки рабочих станций, потому что их обслуживают неквалифицированные люди, в отличие от

xtraeft ★★☆☆
()
Ответ на: комментарий от YAR

Лихо ты двухпроцессорные топы прошлого поколения по ценам текущих считаешь, лихо...

А у них производительность такая же фактически. И где ты купишь прошлого поколения ? Их не продают, продают новые.

Наверное, для майнинга топовые Intel'овские процы посчитал и RAID из SSD'шек? :D

А ты собрался 3 радеона пихать в материнку за $100 чтоли ? Ну, я огорчу тебя, там даже слотов PCI-Ex16 столько нет, а те, что есть, рассчитаны на установку разве что видеокарты-затычки. Видеокарта, близкая к топу, просто поплавит всё, что рядом со слотом, и она сдохнет за месяц. Материнка тут нужна минимум за $300, $200 БП, $200 проц, уже $700. Думаешь остальное на $300 не потянет ? Да больше выйдет.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 2)
Ответ на: комментарий от ekzotech

Нет, только такие, кто через вирус.

а кто будет судить, через вирус или не через вирус?
а если я взятку дам «судье», чтобы он твои кошельки обнулил за якобы «вирусы»?
в таком случае сразу рушится все идеология биткойна

xtraeft ★★☆☆
()
Ответ на: комментарий от ekzotech

И вообще, был же эксплойт на повышение прав, почему бы не запилить какую-нибудь такую лабуду?

потому что они стоят много денег, появляются не каждый день и уж точно никто их не будет использовать для майнинга биткоинов

xtraeft ★★☆☆
()
Ответ на: комментарий от ekzotech

Просто 100% нагрузка на ЦП нонстоп - это адовые лаги. И хз, что будет с процем через 5-6 часов такой «работы».

ничего не будет, разумеется.

xtraeft ★★☆☆
()
Ответ на: комментарий от YAR

6970+6870+5870

Ну, 1200 МХ/с, 100 долларов месяц без учёта расходов. Будешь продолжать пытаться рассказывать, что окупил это железо ?

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от shell-script

Посмотри за последние пару лет новости о взломах серверов. Только одна - взлом вовремя не обновлённого wik-движка(за что админам надо руки оторвать).

это не так.
сколько хостеров не так давно полегло из за очередной локал рут уязвимости.
купил шаред за 2 бакса - залил сплойт, получил рутовые права к серверу и данным сотен тысяч клиентов.
нашли скуль инъекцию на сайте оракла, закончилось рутовым доступом ко всем серверам mysql.com

таких примеров масса

xtraeft ★★☆☆
()
Ответ на: комментарий от lenin386

Еще раз. Вот у человека выше по треду есть 2 6970 - может лежат на полке, а может стоят в компьютере и он в Xonotic или тетрис вечерами играет. Есть блок питания, который их тянет. Есть процессор с памятью и материнкой, куда их вставить можно. Варианты развития событий:

а) оно и дальше лежит без дела / используется для игр - никаких затрат, никаких рисков, никакой пользы, никакой прибыли.

б) На этом (уже существующем) компьютере запускаем майнер, капают монеты; раз в день / 3 дня / неделю меняем их на бирже, выводим, например, на вебмани. Становится невыгодно майнить - выключаем майнер и переходим к пункту «а».

YAR ★★★★★
()
Ответ на: комментарий от ekzotech

Именно потому, что в венде есть дырки.
У меня был такой случай: свежеустановленная система (5 минут как), собираюсь ставить антивирус - открыл браузер (не ослик) и словил вирус.

так это дырка не в винде, а браузере. и я почти на 100% уверен, что ты за парой натов сидел.

Никаких левых сайтов с проном/прочей фигнёй.

левые-нелевые сайты - вообще мимо кассы, вредоносные ифреймы вешают на сайты _любого_ уровня

А уж сколько раз касперский/панда пропускали вирусы на ровном месте.

разумеется, потому что злые бинари криптуют от касперского в первую очередь. но причем тут винда?

Так что не надо говорить, что вирус всегда запускается руками.

или руками, или через уязвимость в браузере и его плагинов. остальные варианты раз в сто лет случаются

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от tazhate

Ну так вот, сам собой ты не запустишь скрипт. Ему права еще нужны ;)

Так зачем? skype не запускается от имени рута, а запускается с правами пользователя. Скрипт тоже - почему он не может вклиниться, например, если таки действительно есть возможность через дыру лезть в API, причём так, чтоб skype не спрашивал разрешения?

А chmod +x - я хз, конечно, но наверняка есть свои заморочки. Ну или могут быть.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от shell-script

Но серверы почти никогда не ломают. Тем более в таком полуавтоматическом режиме.

именно в полуавтоматическом режиме и ломают.
сканеры дырявых скриптов вроде phpmyadmin/wordpress работают 24/7, а дальше уже дело техники

xtraeft ★★☆☆
()
Ответ на: комментарий от wintrolls

Умеет. Кури политики ограниченного запуска программ.

Ох ё-моё. Это ж сколько надо будет винду после установки настраивать?

ekzotech ★★★★
() автор топика
Ответ на: комментарий от lenin386

Их не продают, продают новые.

А я не говорю, что надо сейчас бежать в магазин и их покупать. Если протрешь от жира свой монитор, то парой страниц ранее увидишь, что я не советовал с нуля сейчас что-то строить (грепай по ASIC).

А ты собрался 3 радеона пихать в материнку за $100 чтоли ?

Ну, если уж цепляться к словам, то http://www.gigabyte.com/products/product-page.aspx?pid=3901 - ровно 100$.

А вообще открой для себя волшебный мир райзеров - http://wpmafia.ru/wp-content/uploads/100_0253.jpg. Итого какой-то простой Full ATX-материнки и Sempron'а/Celeron'а за 30$ (как вариант - купленных с рук или оставшихся после апгрейда) с головой хватит для установки 4-5 видеокарт.

$200 проц

Пиши еще.

YAR ★★★★★
()
Ответ на: комментарий от tazhate

Даже 10% от общего трафика - НЕ РЕНТАБЕЛЬНО. Повторяю это еще раз.

нет, 10% - очень рентабельно, но до них очень далеко.

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

в таком случае сразу рушится все идеология биткойна

Ды уже понял. Ну пущай на других наживается. На тех компах, до которых я дотянулся, ему уже не помайнить.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от YAR

Вот у человека выше по треду есть 2 6970

6970x2 - 828 Мhash/s = $71.42/мес. Потребление 6970 - 306 ватт full load http://www.bit-tech.net/hardware/graphics/2010/12/15/ati-radeon-hd-6970-revie.... Две карты - 700 ватт. Плюс остальное - 900 ватт. Даже по тарифам 4.5 цента, которые ты придумал, и которых реально не будет, потому что данная машина в месяц съест 670 квт, на электричество уйдёт 40 баксов, а по московским тарифам - 90. Итого, ты предлагаешь заработать 30 баксов при тарифах, которых нет, или уйти в минус 20 баксов в месяц в Москве. Что же, неплохой бизнес. Только ты слегонца не учёл, что такую нагрузку данное железо может и не выдержать. Оно геймерское и не рассчитано на работу 24/30. Ну, и сущие мелочи типа того, что оно воет вентилями и выносит мозг и при нахождении рядом.

lenin386 ★★★★
()
Последнее исправление: lenin386 (всего исправлений: 2)
Ответ на: комментарий от ekzotech

может да, а может и нет - наверняка мы никогда не узнаем.
соль тут в очередной уязвимости ядра, позволяющей апнуть права до рутовых

xtraeft ★★☆☆
()
Ответ на: комментарий от lenin386

Буду. Ведь:
1) я не все железо покупал для майнинга
2) майню не первый месяц
3) курс и сложность меняются. Сейчас, например, сложность на LTC 20, а начинал я, когда она была 8. Т.е., в начале майнинга я получал более чем в 2 раза больше монет. Плюс курс с тех пор раза в 2 подрос. Вот и считай. Так что да, окупилось. Давно уже.

YAR ★★★★★
()
Ответ на: комментарий от ekzotech

Ды уже понял. Ну пущай на других наживается. На тех компах, до которых я дотянулся, ему уже не помайнить.

что поделать, мир жесток :)
это еще относительно безвредный экземпляр тебе попался

xtraeft ★★☆☆
()
Ответ на: комментарий от ekzotech

В данном случае любой более-менее знающий человек оформит всё это и под линукс.

Кому нужны эти 1-5%, тем более что с зоопарком дистрибутивов придется провозиться раз в пять больше времени, чем было потрачено на написание вируса?

drull ★☆☆☆
()
Ответ на: комментарий от xtraeft

нет, 10% - очень рентабельно, но до них очень далеко.

Ты не забывай, что это от общего числа, а не процент, который пробьет. Пробив раз в 9 меньше будет.

tazhate ★★★★★
()
Ответ на: комментарий от xtraeft

и я почти на 100% уверен, что ты за парой натов сидел.

Учитывая, что это был посёлок в подмосковье - конечно, впереди меня кто-то был. Но такая фигня была 1 раз на чистой системе. И 1 раз через панду (у меня, ещё в 2004 году). Ну может ты помнишь, такой «рекламный вирус», на фон вешал веб-страницу, со ссылкой на супер-антивирус.

остальные варианты раз в сто лет случаются

Если говорить вообще, то полно случаев атак, основанных на 0-дей уязвимостях. Я правда не помню, конфикер распротранялся на вин7 или нет, но хр/висту точно задело, и нефигово.

А так да, кто бы спорил, что основной путь заражения (но не единственный) -

или руками, или через уязвимость в браузере и его плагинов

ekzotech ★★★★
() автор топика
Ответ на: комментарий от ekzotech

Вообще, в идеале было бы клёво, чтоб этого владельца биткоин-зомби-сетки забанили и обнулили всё «намайненное» бабло.

Зачем? Человек зарабатывает на идиотах. Ничего плохого я в этом не вижу.

drull ★☆☆☆
()
Ответ на: комментарий от xtraeft

это еще относительно безвредный экземпляр тебе попался

Ну, мне повезло, я не сталкивался с вирусами тех времён, когда удалялись данные с диска ц/д и т.д. Про «курникову», «вин95 чих» и прочее я только слышал и читал.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от drull

Зачем? Человек зарабатывает на идиотах.

Ну, это отчасти и соц.инженерия (хотя принцип был применён ещё на «курниковой», помнится мне). А так да, учи-не учи пользователей смотреть на расширение - толку мало.

ekzotech ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.