LINUX.ORG.RU
ФорумTalks

Эпидемия вируса в скайпе?

 , , ,


1

1

Последние 3 дня творится какая-то фигня.

Отец получил от знакомого сообщение в скайпе, вместе с файлом (якобы картинка), имеющего двойное расширение (как это ново, ага) .jpg.exe. Отображение расширений для зарегистрированных типов файлов отключено, да.

Механизм распространения гадости приблизительно такой (я не аналитик, и такие вещи не очень хорошо знаю): изначально кто-то заразился (может схожим образом, а может и нет), распространяемый файл является загрузчиком (77-80 кбайт), который запускается как служба, загружает ещё 3 файла. Все файлы прячутся в C:/users/username/appdata/local/temp, один прячется сразу в C:/windows/temp/, и друг друга прикрывают (т.е. файл-вирус удалить сразу не удаётся, я использовал unlocker). Оттуда они прописываются в автозагрузку (3 элемента). Последняя ступень и главная причина всей этой фееричности - это bitcoin-miner, производитель ufasoft, который грузит проц на 100% (от чего комп дико тормозит), причём его имя генерируется случайным образом (длинная абракадабра, порядка 10-12 символов), но генерируется только один раз (т.е. после удаления из автозапуска и удаления самого файла он создаётся снова, но с тем же именем).

Один файл получает доступ к API skype, и ведёт от имени новой жертвы свою рассылку (текст и передача файла).

Гадость вычистить несложно, но муторно, благо вся гадость прячется преимущественно в темпе, а любой автозапуск из темпа - потенциальный вредитель.

В общем, это я к чему. Судя по ufasoft, этот самый bitcoin-miner имеет исходники и для линукса. А учитывая наличие скайпа в линуксе, который тоже не без дыр (ms же), его API может быть использовано аналогично для рассылки; вряд ли у многих стоит noexec на /home => запустить какой-нибудь .sh вполне возможно, и даже не потребуется рутовых прав, насколько я понимаю.

Будьте бдительны.

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

★★★★
Ответ на: комментарий от YAR

Ключи идут вместе с майнером же, разве нет? Т.е. по крайней мере к тому счету который создается локально, должен быть доступ.

anonymous_sama ★★★★★
()
Ответ на: комментарий от derlafff

Так с таким настроем лучше вообще компом не пользоваться. У меня же на компе зеркало пентагона, они рсинкаются на него каждую ночь по крону. Да кому я нужен блин?

//Код не пишу и .desktop файлов не имею. И всякие ~.config/openbox/autostart и прочие .xinitrc довольно часто ковыряются мною чтобы осталась незамеченной какая то пускалка.

И скайпом я не пользуюсь, ага, мобилки хватает.

partyzan ★★★
()
Ответ на: комментарий от anonymous_sama

Нет. Максимум, что ты сможешь выцепить с вируса - логин программы-майнера для пула совместной генерации (но не доступ к аккаунту, где этот логин был создан). Программа - просто клиент, сгенерировала хэш - отправила пулу. Нашли блок - пул получил награду (ну или как в данном конкретном случае - не знаю, методы начисления могут быть разными. В PPS награда начисляется за каждую сгенерированную шару).

Даже если повезет и ты внезапно найдешь логин/пароль на аккаунт на пуле - сможешь максимум обрезать поступления денег вирусописателю с этого аккаунта, но ничего не сможешь сделать с уже отправленными с пула деньгами на указанный кошелек.

YAR ★★★★★
()
Ответ на: комментарий от derlafff

KDE/Gnome/LXDE/etc. Выбирай любой. Т.е. любое современное окружение, следующее стандартам. Да хоть в ~/.bashrc можно выписывать автозапуск

вот МНЕ СЕЙЧАС и впиши. IP дать, или сам найдёшь?

drBatty ★★
()
Ответ на: комментарий от anonymous_sama

А, ну и да, по второму абзацу - естественно, только в том случае, если это будет публичный пул, а не собственный пул вирусописателя (а это, скорее всего, будет именно так, ибо на публичный пул посыпятся жалобы и аккаунт там попросту забанят)

YAR ★★★★★
()
Ответ на: комментарий от partyzan

Так с таким настроем лучше вообще компом не пользоваться.

Это не отменяет уязвимости и ненужности /home с noexec

derlafff ★★★★★
()
Ответ на: комментарий от partyzan

Давай до свиданья, мне уже лень и совсем неинтересно с тобой вести дискас.

Ты так сказал, будто noexec на хомяке — панацея от подобной нечисти.

Лень и неинтересно — сливай, твоё дело, но обратного ты не доказал.

derlafff ★★★★★
()
Ответ на: комментарий от partyzan

уже лень и совсем неинтересно

вообще у этого есть краткое лаконичное название и оно возникает, когда ты неправ :)

derlafff ★★★★★
()
Ответ на: комментарий от derlafff

noexec от башнины не спасет, но хотя бы спасет от бинарников. Это уже лучше чем ничего, так как неломаемых ОС не существует и все упирается в целесообразность взлома и трудозатраты по нему. Чем больше преград, тем трудозатратнее.

partyzan ★★★
()

У ТЕБЯ НОВАЯ АВАТАРА? AVATARA.JPG.EXE

так и было, такой спам шел с одного, а потом со многих, но потом внезапно переставал, до выпила антивирусом %) Скайп ненужен, да.

FiXer ★★☆☆☆
()
Ответ на: комментарий от derlafff

Я и говорю ты параноик. Выбрось компьютер - тебя могут хакнуть школьники. Хотя нет, выйди в окно, в жизни тебя тоже могут хакнуть.... Гопники в подъезде.

partyzan ★★★
()
Ответ на: комментарий от lenin386

Уведи этих упоротых майнеров из топика %)

FiXer ★★☆☆☆
()

Омг, мне от знакомых виндузятников посыпалось червие. Погонять его чтоли под виртуалочкой? =)

Файл лежит на медиафайре, могу скинуть по запросу, если интересно, в открытый доступ сюда ссыль выкладывать не буду, чтобы не травмировать местных вендовых анонимусов.

Не знаю, тот же вирь, или нет. Симптоматика: предлагает пойти на медиафайр и скачать файл с двойным расширением под видом смешной фотографии («Правда, он тут на Путина похож? <ссылка> \n :D»).

// God fuck that '«»'

Kor03d ★★
()
Последнее исправление: Kor03d (всего исправлений: 1)
Ответ на: комментарий от ekzotech

Чинил-то не отцу (у него антивирус вроде всё сделал, а если нет - я уже знаю как лечить). А знакомым, это раз. А во вторых, я имел ввиду мудака, оформившего эту гадость.

Да это шутка была, расслабься :)

Igron ★★★★★
()
Ответ на: комментарий от border-radius

ХЗ, у меня - кеды, и вообще - влом проверять. Мне шо exe.jpg, шо jpg.exe, шо просто какой-то левак, пришедший от того, от кого он вообще не должен был приходить - однозначно в /dev/firebox, и длинная лекция приславшему о том, почему вредно, противопоказано, не рекомендуется и не нужно юзать венды.

upd. А если вдруг выясняется, что жертва ещё и ОСЛА юзает (среди моих контактов, правда, такого безобразия нет ни одного, но бывают далёкие от IT оффлайн-знакомые, жалующиеся на вирь), то лекция может растянуться на час, вне зависимости от желания жертвы. И ви таки знаете - работает!.. Не венду - так хоть осла сносят, вспоминают с содроганием, и всем знакомым рекомендуют это г...но не юзать. Хоть какая-то, но польза...

Saloed
()
Последнее исправление: Saloed (всего исправлений: 1)
Ответ на: комментарий от Kor03d

Омг, мне от знакомых виндузятников посыпалось червие.

А мне почему-то ни от кого так и не пришло. Странно всё это... Не может такого быть.

Saloed
()
Ответ на: комментарий от border-radius

Ты не поверишь, но на некорневых разделах уже давно по дефолту noexec.

В каких дистрибутивах? Из всего что я тыкал — noexec по дефолту нигде не было.

wintrolls ☆☆
()
Ответ на: комментарий от ekzotech

Начиная с висты при переименовании по умолчанию расширение НЕ задевается (не выделено, меняется только само имя файла). Долго они к этому шли, однако.

Это да, но я немного не про то. Куча пользователей не понимают что такое расширение файла, для них это то, что портит внешний вид, они от этого бесятся, а потом бесятся, когда ничего нормально не работает, когда они «исправляют» внешний вид.
:-)

valentin_v13 ★★★
()
Ответ на: комментарий от wintrolls

В каких дистрибутивах? Из всего что я тыкал — noexec по дефолту нигде не было.

Деб, федя, арч, убунта (минимал).

border-radius
()
Ответ на: комментарий от Saloed

У меня тьхунар, дык при выделении файла с таким символом в имени статусбар тоже перекорёживает, как в нау. Вообще баг довольно интересный. Но здесь говорили, что с консолькой что-то не так происходит - хз, баш, несмотря на системную локаль UTF-8, эти контрол-символы втупую игнорит.

border-radius
()
Ответ на: комментарий от Deleted

Думаю, на той же. Вряд ли опенсорц может позволить себе содержание своего собственного племени элитных имбецилов.

Axon ★★★★★
()
Ответ на: комментарий от derlafff

молодец, а теперь почитай нить. не об этом говорили

ты как раз об этом и говорил. «Уязвимость» какую-то нашёл…

Вот и покажи.

drBatty ★★
()
Ответ на: комментарий от derlafff

Ты так сказал, будто noexec на хомяке — панацея от подобной нечисти.

noexec на хомяке(и на /tmp, /var/tmp) не даст юзеру запустить эксплоит для повышения прав. Вот и всё.

drBatty ★★
()
Ответ на: комментарий от drBatty

ты как раз об этом и говорил. «Уязвимость» какую-то нашёл…

эмм? где? я лишь говорил о том, что noexec на хомяке не спасет в случае прорыва гадости и вообще ненужно

derlafff ★★★★★
()
Последнее исправление: derlafff (всего исправлений: 2)

эпидемия пользователей, осложнённая мелкософтом обыкновенным.

AGUtilities ★★★
()
Последнее исправление: AGUtilities (всего исправлений: 1)
Ответ на: комментарий от drBatty

noexec на хомяке(и на /tmp, /var/tmp) не даст юзеру запустить эксплоит для повышения прав. Вот и всё.

если злоумышленник запустил код на пораженной системе, то у него уже есть fork() и exec() для эксплоитов, так что не вариант

derlafff ★★★★★
()
Ответ на: комментарий от drBatty

там тоже нужен noexec.

лол. и меня кто-то параноиком назвал.

к тому же, noexec на /tmp не совместим с APT. Думаю, что и с другими ПМ тоже

derlafff ★★★★★
()
Ответ на: комментарий от Saloed

осла снести нельзя.

лекция может растянуться на час, вне зависимости от желания жертвы. И ви таки знаете - работает!..

они перестают общаться с тобой?:)

pawnhearts ★★★★★
()
Ответ на: комментарий от derlafff

да не поможет noexec, можно из питона через ctypes запустить си-код. из перла тоже можно. и очень много чего ещё можно

pawnhearts ★★★★★
()
Ответ на: комментарий от valentin_v13

думаю по этой причине они хотели метаинформацию о файле запихнуть в фс. помните winfs всё обещали ещё в висте. и где она?

pawnhearts ★★★★★
()
Ответ на: комментарий от derlafff

я лишь говорил о том, что noexec на хомяке не спасет в случае прорыва гадости

спасёт.

и вообще ненужно

нужно.

drBatty ★★
()
Ответ на: комментарий от drBatty

спасёт

как же тяжело спорить с людями, которые читать не умеют/не хотят. аргументы есть какие-нибудь?

и где ты, например, код будешь хранить и дебагить? на отдельном разделе, как один пациент из этого треда?

derlafff ★★★★★
()
Последнее исправление: derlafff (всего исправлений: 1)
Ответ на: комментарий от derlafff

noexec на хомяке(и на /tmp, /var/tmp) не даст юзеру запустить эксплоит для повышения прав. Вот и всё.

если злоумышленник запустил код на пораженной системе, то у него уже есть fork() и exec() для эксплоитов, так что не вариант

и как он запустит код? ГДЕ этот код будет лежать? Если у тебя noexec везде(где можно юзеру создавать файлы. В разных /usr/bin нет права создания).

drBatty ★★
()
Ответ на: комментарий от derlafff

лол. и меня кто-то параноиком назвал.

дык смысла нет в noexec на хомяке без /tmp.

к тому же, noexec на /tmp не совместим с APT. Думаю, что и с другими ПМ тоже

аптопроблемы.

drBatty ★★
()
Ответ на: комментарий от derlafff

как же тяжело спорить с людями, которые читать не умеют/не хотят. аргументы есть какие-нибудь?

см. выше. что именно тебе аргументировать?

и где ты, например, код будешь хранить и дебагить? на отдельном разделе, как один пациент из этого треда?

ну да. разработчику необходим отдельный раздел, если он делит компьютер с дебилами, которые запускают всё подряд.

Вот только далеко не все разрабы дебилы.

drBatty ★★
()
Ответ на: комментарий от pawnhearts

берется .so файл и подключается из питона через ctypes. вызывается сишная функция. в чем проблема?

очевидно в пайтоне. Он не должен запускать код из so, если этот файл не имеет права запуска. А что, запускает?

drBatty ★★
()
Ответ на: комментарий от drBatty

см. выше. что именно тебе аргументировать?

см на время своих аргументов и время комментов

разработчику необходим отдельный раздел, если он делит компьютер с дебилами, которые запускают всё подряд.

дебилы, которые запускают всё подряд != какой-нибудь дырявый софт. В FF каком-нибудь, да и в любом браузере, тоже могут быть такие дыры

derlafff ★★★★★
()
Последнее исправление: derlafff (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.