LINUX.ORG.RU
ФорумTalks

Эпидемия вируса в скайпе?

 , , ,


1

1

Последние 3 дня творится какая-то фигня.

Отец получил от знакомого сообщение в скайпе, вместе с файлом (якобы картинка), имеющего двойное расширение (как это ново, ага) .jpg.exe. Отображение расширений для зарегистрированных типов файлов отключено, да.

Механизм распространения гадости приблизительно такой (я не аналитик, и такие вещи не очень хорошо знаю): изначально кто-то заразился (может схожим образом, а может и нет), распространяемый файл является загрузчиком (77-80 кбайт), который запускается как служба, загружает ещё 3 файла. Все файлы прячутся в C:/users/username/appdata/local/temp, один прячется сразу в C:/windows/temp/, и друг друга прикрывают (т.е. файл-вирус удалить сразу не удаётся, я использовал unlocker). Оттуда они прописываются в автозагрузку (3 элемента). Последняя ступень и главная причина всей этой фееричности - это bitcoin-miner, производитель ufasoft, который грузит проц на 100% (от чего комп дико тормозит), причём его имя генерируется случайным образом (длинная абракадабра, порядка 10-12 символов), но генерируется только один раз (т.е. после удаления из автозапуска и удаления самого файла он создаётся снова, но с тем же именем).

Один файл получает доступ к API skype, и ведёт от имени новой жертвы свою рассылку (текст и передача файла).

Гадость вычистить несложно, но муторно, благо вся гадость прячется преимущественно в темпе, а любой автозапуск из темпа - потенциальный вредитель.

В общем, это я к чему. Судя по ufasoft, этот самый bitcoin-miner имеет исходники и для линукса. А учитывая наличие скайпа в линуксе, который тоже не без дыр (ms же), его API может быть использовано аналогично для рассылки; вряд ли у многих стоит noexec на /home => запустить какой-нибудь .sh вполне возможно, и даже не потребуется рутовых прав, насколько я понимаю.

Будьте бдительны.

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

★★★★
Ответ на: комментарий от lenin386

Потребление 6970 - 306

То системник целиком, на котором какие-то тесты гонялись. Давай тогда уж брать по реальной задаче. https://forum.btcsec.com/index.php?/blog/13/entry-11-testirovanie-energopotre... - этому я как-то больше доверяю. Потребление самой карты получается даже немного меньше, чем заявленный максимум. Ок, в LTC потребление выше - вот и выходим на обычные 250 Вт для 6970.

на электричество уйдёт 40 баксов

Ты путаешься в показаниях. Это было для твоих выдуманных трех 6990.

YAR ★★★★★
()
Ответ на: комментарий от SI

заплати наконец касперычу

Я эту фигню не ставил 100500 лет, и ставить не собираюсь.

Если никуда не шастать - вполне хватает «ихнего» msse. А для остального у меня линукс.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от ekzotech

Чего то я тебя не понимаю. Покупаешь касперыча и забываешь о всех виндоуз-проблемах на год. Или тебе охота с всяким мусором вирусным возиться ?

SI ★★☆☆
()
Ответ на: комментарий от SI

Покупаешь касперыча и забываешь о всех виндоуз-проблемах на год. Или тебе охота с всяким мусором вирусным возиться ?

Так проблемы-то не у меня. Мне msse хватает.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от lenin386

Ну и да, насчет тарифов:

[12:04:42] <rаin> а у кого какие тарифы на электроэнергию?
[12:59:48] <opn> Rain 1.36 руб
[13:01:28] <rаin> opn: это где?
[13:01:37] <opn> тюмень
[13:02:23] <rain> _convert rur usd 1.36
[13:02:25] <iSida> 1.36 RUR (Российский рубль) = 0.0452154716705 USD (Доллар США) | 1 RUR = 0.033246670346 USD

Так что твои 20 рублей для меня не менее выдуманные, чем мои 4,5 цента для тебя.

YAR ★★★★★
()
Ответ на: комментарий от xtraeft

Я бы не назвал это взломом именно linux-серверов. Не важно какая там ОС, если сломав cms можно впихнуть туда свой php-костыль и слать с него спам. Уязвимости самой ОС тут не используются.

shell-script ★★★★★
()
Ответ на: комментарий от ekzotech

В линуксе для аналогичного и расширения не нужны (chmod +x и обычный файл стал исполняемым; а если это бинарь?)

а в венде нужны? Насколько я знаю, там ВСЕ файлы исполняемые.

drBatty ★★
()
Последнее исправление: drBatty (всего исправлений: 1)
Ответ на: комментарий от ekzotech

(а то и спрятать .sh и просто chmod +x

кто будет chmod +x делать?

drBatty ★★
()
Ответ на: комментарий от cvs-255

в linux консоли символ текста задом наперед игнорируется

там _любые_ символы игнорируются. Кроме тех, с которых начинается файл. Но они анализируются только если есть право x, и если юзер сам запустил этот файл.

drBatty ★★
()
Ответ на: комментарий от cvs-255

А где еще держать и запускать код? Вот пишешь ты программу. Надо ее оттестить. Как ты это предлагаешь?

сложно сделать юзера со своим каталогом? Если ты дебил - сложно. А как писать код дебилу?

drBatty ★★
()
Ответ на: комментарий от lenin386

Их отлично ломают, и почти все спам сети состоят из ломаных линукс серверов.

мне почему-то приходит спам с вендовых машин. на 146%.

drBatty ★★
()
Ответ на: комментарий от lenin386

там даже слотов PCI-Ex16 столько нет

Напильником и в x1 слот втыкаешь. Для майнера шина нужна для загрузки программы, не более.

Artificial_Thought ★★★★
()
Ответ на: комментарий от derlafff

И да, тебя это не спасет. Никто не мешает писать вирус на каком-нибудь баше/перле и приписывать запускатор в какой-нибудь .desktop в ~/.config/autostart

кто будет его запускать?

drBatty ★★
()
Ответ на: комментарий от lenin386

Линукс машина спамит - дело сделано.

а спамит-ли?

drBatty ★★
()
Ответ на: комментарий от Mitsumi

Ненормально собранная машина начнет ребутаться уже после нескольких минут загрузки на 100% же.

это проблема кривых рук сборщика. У меня машины работают сутками со 100% загрузки (если есть необходимость).

drBatty ★★
()
Ответ на: комментарий от Ok

Кстати, есть дырень и похлеще: даже если переименуешь в jpg, zip или ещё какой abc, то из-под командной строки всё равно можно запустить как ни в чём не бывало.

border-radius
()
Ответ на: комментарий от Mitsumi

Ну дык на то оно и «ненормально собранная» же.

ну дык и кто в этом виноват?

drBatty ★★
()
Ответ на: комментарий от drBatty

а в венде нужны? Насколько я знаю, там ВСЕ файлы исполняемые.

.exe да. А остальные - вроде нет. Или я путаю? (Имеется ввиду запуск самого файла, как софта, не при помощи другого софта).

ekzotech ★★★★
() автор топика
Ответ на: комментарий от ekzotech

Путаешь. Exe можно переименовать во что угодно и всё равно из-под cmd будет запускаться. Для исполняемости достаточно MZ-сигнатуры.

border-radius
()
Ответ на: комментарий от shell-script

Я говорил лишь про то, что perl более вероятно будет на компе, чем python.

не факт. Профиты можно срубить с компа разработчика, который запускает всякую НЁХ на перле/пайтоне. У такого пайтон более вероятен. Ну а на компе ламера только коды в *.exe и можно запускать.

drBatty ★★
()
Ответ на: комментарий от border-radius

Особенно жгут в этом плане exe с присобаченным в конец зипом и соответствующим расширением.

border-radius
()
Ответ на: комментарий от drBatty

Ну а на компе ламера только коды в *.exe и можно запускать.

Ты о великом и ужасном WSH забыл (VBScript, JScript). Для вирмейкера - просто кладезь возможностей.

border-radius
()
Ответ на: комментарий от ekzotech

.exe да. А остальные - вроде нет. Или я путаю?

путаешь. Что в Linux, что в венде, запускаемость файлов зависит исключительно от сигнатуры(первые байты). В Linux ещё важно право запуска(которого по дефолту нет, надо ручками ставить).

drBatty ★★
()
Ответ на: комментарий от drBatty

Не "исключительно" - весь софт, запускающий исполняемые файлы через ShellExecute(Ex), такие переименованные ехешники не запустит. А вот все остальные вызовы, коих там дофига, сработают на ура.

border-radius
()
Ответ на: комментарий от border-radius

Ты о великом и ужасном WSH забыл (VBScript, JScript). Для вирмейкера - просто кладезь возможностей.

ну это в венде есть. нет венды - нет проблемы.

drBatty ★★
()
Ответ на: комментарий от border-radius

Не «исключительно» - весь софт, запускающий исполняемые файлы через ShellExecute(Ex), такие переименованные ехешники не запустит.

яхз. Юзеры их как-то тыкают, и они как-то запускаются.

drBatty ★★
()
Ответ на: комментарий от border-radius

всегда пожалуйста. Я таки жду-недождусь вирус под линух, который что-то там ломает и спамит.

drBatty ★★
()
Ответ на: комментарий от drBatty

Так вот прикол в том, что когда они тыкают в диэлек проводнике, запуск происходит именно через ShellExecuteEx, и венда скажет в таком случае "шозанах". А вот в cmd и прочих сторонних пускалках процессов такой трюк прокатывает на ура.

border-radius
()

Тут и без вирусов все грустно. С какого-то GUI все в главном меню перекособочило. Капец.

Deleted
()
Ответ на: комментарий от border-radius

запуск происходит именно через ShellExecuteEx, и венда скажет в таком случае «шозанах»

нулёвая скажет. Там галка будет «больше не задавать тупых вопросов?». И галка будет УСТАНОВЛЕНА.

Смирись.

drBatty ★★
()
Ответ на: комментарий от Deleted

Тут и без вирусов все грустно. С какого-то GUI все в главном меню перекособочило. Капец.

ещё один юзер федоры? Тогда тебе туда, или у тебя бубунта? тогда туда Там тоже смешно:

Любой подошедший в любое время без пароля может отформатировать винт, прямо в меню наутилуса. Вот это по-настоящему дырище.

drBatty ★★
()
Ответ на: комментарий от drBatty

Ты, видимо, не совсем въехал в механизм. Я его разбирал изнутри.

Сценарий номер раз:

  • Х%&кер переименовывает exeшник в расширение jpg;
  • Юзверь клацает на jpg в проводнике;
  • Шиндошс открывает его прогой, которая обычно установлена для открытия JPEG (спасибо ShellExecuteEx);
  • Прога ругается на неподдерживаемое изображение;
  • Юзверь в печали, х%&керу болт.

Сценарий номер джва:

  • Х%&кер переименовывает exeшник в расширение jpg (ololo.jpg) и пилит autorun.inf с open=cmd /c ololo.jpg или что-то в этом роде;
  • Юзверь открывает флэшку в проводнике;
  • Шиндошс спокойно выполняет cmd и ololo.jpg как exe заодно (спасибо сигнатурам);
  • Юзверь в печали, х%&керу профит.
border-radius
()
Ответ на: комментарий от drBatty

там _любые_ символы игнорируются.

Да неужели? cat test.txt выведет мне текст не задом-наперед, если в test.txt есть символ 0x202E

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Да неужели? cat test.txt выведет мне текст не задом-наперед, если в test.txt есть символ 0x202E

да неужели?

у тебя Linux есть под рукой?

drBatty ★★
()
Ответ на: комментарий от ekzotech

когда удалялись данные с диска ц/д и т.

это детские шалости, они не приносят особых проблем.
я говорил про серьезные банковские трояны, формграбберы и тд

xtraeft ★★☆☆
()
Ответ на: комментарий от SI

Покупаешь касперыча и забываешь о всех виндоуз-проблемах на год.

гы, от него в первую очередь криптуют.

xtraeft ★★☆☆
()
Ответ на: комментарий от shell-script

Уязвимости самой ОС тут не используются

- Linux sock_sendpage() NULL pointer dereference в 2009 году
- эпичная бага в glibc и CVE-2010-3081 в 2010 году
- mempodipper в начале 2012.
это так, навскидку

xtraeft ★★☆☆
()
Ответ на: комментарий от Ok

Кстати, кто-нибудь может мне объяснить, почему уже больше тысячи лет в винде по умолчанию скрыты расширения? Ведь это дырень галактических масштабов.

Потому что пользователю не нужны ни расширения, ни файлы даже, ему мокрые писечки нужны, или отчеты квартальные.

shimon ★★★★★
()
Ответ на: комментарий от drBatty

KDE/Gnome/LXDE/etc. Выбирай любой.

Т.е. любое современное окружение, следующее стандартам.

Да хоть в ~/.bashrc можно выписывать автозапуск

derlafff ★★★★★
()
Последнее исправление: derlafff (всего исправлений: 1)
Ответ на: комментарий от ekzotech

Ох ё-моё. Это ж сколько надо будет винду после установки настраивать?

Будто линукс со всякими noexec настраивать не надо.

wintrolls ☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.