LINUX.ORG.RU
ФорумTalks

Эпидемия вируса в скайпе?

 , , ,


1

1

Последние 3 дня творится какая-то фигня.

Отец получил от знакомого сообщение в скайпе, вместе с файлом (якобы картинка), имеющего двойное расширение (как это ново, ага) .jpg.exe. Отображение расширений для зарегистрированных типов файлов отключено, да.

Механизм распространения гадости приблизительно такой (я не аналитик, и такие вещи не очень хорошо знаю): изначально кто-то заразился (может схожим образом, а может и нет), распространяемый файл является загрузчиком (77-80 кбайт), который запускается как служба, загружает ещё 3 файла. Все файлы прячутся в C:/users/username/appdata/local/temp, один прячется сразу в C:/windows/temp/, и друг друга прикрывают (т.е. файл-вирус удалить сразу не удаётся, я использовал unlocker). Оттуда они прописываются в автозагрузку (3 элемента). Последняя ступень и главная причина всей этой фееричности - это bitcoin-miner, производитель ufasoft, который грузит проц на 100% (от чего комп дико тормозит), причём его имя генерируется случайным образом (длинная абракадабра, порядка 10-12 символов), но генерируется только один раз (т.е. после удаления из автозапуска и удаления самого файла он создаётся снова, но с тем же именем).

Один файл получает доступ к API skype, и ведёт от имени новой жертвы свою рассылку (текст и передача файла).

Гадость вычистить несложно, но муторно, благо вся гадость прячется преимущественно в темпе, а любой автозапуск из темпа - потенциальный вредитель.

В общем, это я к чему. Судя по ufasoft, этот самый bitcoin-miner имеет исходники и для линукса. А учитывая наличие скайпа в линуксе, который тоже не без дыр (ms же), его API может быть использовано аналогично для рассылки; вряд ли у многих стоит noexec на /home => запустить какой-нибудь .sh вполне возможно, и даже не потребуется рутовых прав, насколько я понимаю.

Будьте бдительны.

Ну и напоследок: как найти этого мудака и открутить ему йайцы за то, что я не спал до часу ночи?

★★★★
Ответ на: комментарий от drBatty

тоже самое можно сделать из perl и других языков.

а что, нет? я, если честно, не уверен. насколько я понимаю как работает noexec, загрузить в память и выполнить код из библиотеки, расположенной на noexec-разделе из уже запущенного из другого места исполняемого файла проблем нет?

pawnhearts ★★★★★
()
Ответ на: комментарий от drBatty

и как он запустит код? ГДЕ этот код будет лежать?

Если у тебя noexec везде

Тогда нигде, если исполняемые языки. На каком-нибудь перле — спокойно запустит.

Но вот я не думаю, что даже параноик протянет долго в таких условиях. Ограничивать эксплоит в запуске бинарников означает ограничивать себя.

Ну или поискать, где юзер компиляет программы или тп (+w и exec)

derlafff ★★★★★
()
Ответ на: комментарий от derlafff

дебилы, которые запускают всё подряд != какой-нибудь дырявый софт. В FF каком-нибудь, да и в любом браузере, тоже могут быть такие дыры

в ФФ вряд-ли(но возможно), а вот в быдлофлешах, быдлоскайпах, а особенно в wine - не только могут, но и наверняка есть. Потому этот софт нужно запускать от другого юзера, который не имеет доступа к хомяку оператора, и тем более к разделу девелопера. (ВООБЩЕ не имеет. -w -r -x).

drBatty ★★
()
Ответ на: комментарий от drBatty

в ФФ вряд-ли(но возможно), а вот в быдлофлешах, быдлоскайпах, а особенно в wine - не только могут, но и наверняка есть. Потому этот софт нужно запускать от другого юзера, который не имеет доступа к хомяку оператора, и тем более к разделу девелопера. (ВООБЩЕ не имеет. -w -r -x).

Тогда уж сразу использовать Qubes и не ныть о безопасности, лол

derlafff ★★★★★
()
Ответ на: комментарий от drBatty

чего уж мелочиться, каждую программу в своей виртуальной машине. ну хотя бы в контейнере соляровском или jail`е

pawnhearts ★★★★★
()
Ответ на: комментарий от derlafff

в дистре без ПМ тебе нужен будет exec для ./configure

не обязательно делать пакеты на той же машине, где они будут использоваться. Ну и у ./configure есть вообще-то --exec-prefix=, а если ты намекаешь на slackware, то в slackbuild есть $TMP, которую совсем не обязательно направлять в общедоступный /tmp с noexec.

drBatty ★★
()
Ответ на: комментарий от pawnhearts

а что, нет? я, если честно, не уверен. насколько я понимаю как работает noexec, загрузить в память и выполнить код из библиотеки, расположенной на noexec-разделе из уже запущенного из другого места исполняемого файла проблем нет?

вообще-то такого быть не должно. в смысле, не должно быть запуска из скрипта интерпретатором без проверок на право запуска. Ну а в коде на асме(сишечка и т.д.) - так есть. Но как ты этот код запустишь-то?

drBatty ★★
()
Ответ на: комментарий от derlafff

Тогда уж сразу использовать Qubes и не ныть о безопасности, лол

хорошая у тебя аргументация ненужности noexec.

drBatty ★★
()
Ответ на: комментарий от drBatty

т.е. из кода на си можно подключить .so с noexec раздела библиотечной функцией? значит и из питона можно и из перла. потому что там просто обертки над этими функциями

pawnhearts ★★★★★
()
Ответ на: комментарий от pawnhearts

чего уж мелочиться, каждую программу в своей виртуальной машине.

как хочешь, твоё право. Хотя ИМХО для моих задач это слишком сложно.

drBatty ★★
()
Ответ на: комментарий от drBatty

а ты пробовал linux-vserver? там это очень просто и удобно и без оверхеда. так же хороши jail`ы и контейнеры в солярочке.

pawnhearts ★★★★★
()
Ответ на: комментарий от border-radius

всё равно из-под cmd будет запускаться.

Ну так то из-под cmd. Хотя я не уточнял, так что ок.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от Valdor

Я увижу бяку, прибью ее, выслежу скрипт/бинарник, убью его. Что дальше?

Бяки не будет, очевидно же.

ekzotech ★★★★
() автор топика
Ответ на: комментарий от pawnhearts

не запустит. поставил игрушку недавно в раздел с noexec и wine падал. примонтировал без noexec всё заработало.

яхз. У меня и wine нет. Но вроде раньше работало как-то.

а ты пробовал linux-vserver? там это очень просто и удобно и без оверхеда.

нет. Зачем? Я вообще привык своими костылями пользоваться, это более эффективно и безопасно, чем разбираться в чужих.

так же хороши jail`ы и контейнеры в солярочке.

зачем, если в любом Linux можно создать бесправного юзера? 100% защиты всё равно не бывает, а мне ИМХО достаточно стандартных средств.

drBatty ★★
()
Ответ на: комментарий от drBatty

не ставить ничего кроме как из оф. реп? а если очень надо? из исходников собрать-там тоже могут быть(вспоминаем rm /usr /bumbleebee - и это не по злому умыслу же)

pawnhearts ★★★★★
()
Ответ на: комментарий от pawnhearts

не ставить ничего кроме как из оф. реп?

да

а если очень надо? из исходников

да

там тоже могут быть(вспоминаем rm /usr /bumbleebee - и это не по злому умыслу же)

100% гарантии даёт только морг. Есть gpg ключ у вменяемых разработчиков (невменяемые не нужны).

drBatty ★★
()
Ответ на: комментарий от drBatty

И все исходники самому проверять на вредоносность, ну-ну.

А noexec на /home не нужен, - толку ноль, одни проблемы. Как вариант, юзать selinux с разграничением доступа к каталогам в хомяке, в зависимости от процесса.

И ведь проблема не очень-то надуманна. Скачал юзер плазмоид/гном-экстеншон, и улетели все его пароли с кукисами куда надо.

kott ★★★★★
()
Ответ на: комментарий от kott

И все исходники самому проверять на вредоносность, ну-ну.

нет. Просто ставить те исходники, в авторе которых ты уверен. Например свои. Ну или можно ставить новые программы от старых авторов(если в дистрибутиве версия слишком старая).

noexec на /home не нужен, - толку ноль, одни проблемы.

повторяю третий раз: толк в том, что обычные юзеры не смогут скачивать и запускать всякую гадость из интернетов. Вот и всё. Где ты видишь проблемы - мне непонятно.

Как вариант, юзать selinux с разграничением доступа к каталогам в хомяке, в зависимости от процесса.

можно. Если у тебя Over9000 машин, на которых работают 100500 разработчиков, и у каждого свои особенные права. Если юзеров «я и моя кошка», то это не нужно.

И ведь проблема не очень-то надуманна. Скачал юзер плазмоид/гном-экстеншон, и улетели все его пароли с кукисами куда надо.

гном непатрегоугодный. Хотя раньше там такого нельзя было делать. Сейчас без понятия.

drBatty ★★
()
Ответ на: комментарий от drBatty

нет. Просто ставить те исходники, в авторе которых ты уверен. Например свои. Ну или можно ставить новые программы от старых авторов(если в дистрибутиве версия слишком старая).

логика «или-или» не подходит, зачем себя ограничивать?

повторяю третий раз: толк в том, что обычные юзеры не смогут скачивать и запускать всякую гадость из интернетов. Вот и всё. Где ты видишь проблемы - мне непонятно.

куча софта не заведется, нопрмер steam :)

можно. Если у тебя Over9000 машин, на которых работают 100500 разработчиков, и у каждого свои особенные права. Если юзеров «я и моя кошка», то это не нужно.

вот мой хоумдир мне всего и дороже, поэтому и надо защищать его содержимое

гном непатрегоугодный. Хотя раньше там такого нельзя было делать. Сейчас без понятия.

я про гном не уверен тоже, но плазмоиды - суть бинарники, захотечется какую-нибудь свистелку с kde-look.org запустить, а боязно, вдруг пароли потырит.

kott ★★★★★
()
Ответ на: комментарий от drBatty

>>повторяю третий раз: толк в том, что обычные юзеры не смогут скачивать и запускать всякую гадость из интернетов. Вот и всё. Где ты видишь проблемы - мне непонятно.

куча софта не заведется, нопрмер steam :)

можно, конечно, для стима и линк на куда-нибудь за пределы хоума сделать, но это ж слабая мера

kott ★★★★★
()
Ответ на: комментарий от kott

логика «или-или» не подходит, зачем себя ограничивать?

затем, что-бы не качать НЁХ из интернетов. Которая пароли сливает, и т.д. Если себя не ограничивать, то такая ОС ничем не лучше маздая.

куча софта не заведется, нопрмер steam :)

поставь себе венду, и играй на здоровье. Это годная запускалка игр, если ты не знал.

вот мой хоумдир мне всего и дороже, поэтому и надо защищать его содержимое

ну дык и я о том-же. Зачем в твоём драгоценном homedir запускать всякую НЁХ?

я про гном не уверен тоже, но плазмоиды - суть бинарники, захотечется какую-нибудь свистелку с kde-look.org запустить, а боязно, вдруг пароли потырит.

ССЗБ

drBatty ★★
()
Ответ на: комментарий от kott

можно, конечно, для стима и линк на куда-нибудь за пределы хоума сделать, но это ж слабая мера

почему «слабая»? Если юзер этот линк самостоятельно сделать не может, то он и не сделает. А если может - то ЭТОТ юзер всё равно ничем ценным не владеет, и пусть ЕГО steam сливает У НЕГО всё что угодно.

drBatty ★★
()
Ответ на: комментарий от drBatty

Ладно, если вы не хотите понимать (или нарочно делаете вид), объясню. noexec - слабая защита, защищать нужно на уровне доступа к директориям браузера, kwallet'a/gnome-keyring'a и подобного, хранящего ценную инфу.

А насколько надежен запускаемый код, можно определить только проведя его предварительный аудит. Подписи и доверие к кодеру - не панацея.

А если может - то ЭТОТ юзер всё равно ничем ценным не владеет, и пусть ЕГО steam сливает У НЕГО всё что угодно.

на чем основан вывод о ценности того, чем владеет такой юзер?

kott ★★★★★
()
Ответ на: комментарий от kott

Ладно, если вы не хотите понимать (или нарочно делаете вид), объясню. noexec - слабая защита,

noexec вообще не защита, если она одна. Но разве я это предлагал?

защищать нужно на уровне доступа к директориям браузера

дык у меня браузер работает от особого юзера, и к моему $HOME доступа не имеет вообще. И уж тем более к ~/.gnupg & ~/.ssh/

kwallet'a/gnome-keyring'a и подобного, хранящего ценную инфу.

эти хреновины не нужны вообще.

А насколько надежен запускаемый код, можно определить только проведя его предварительный аудит. Подписи и доверие к кодеру - не панацея.

ага. _полный_ аудит это по твоему «панацея»? ну-ну…

на чем основан вывод о ценности того, чем владеет такой юзер?

на том, что юзер браузера, скайпа, стима и т.д. имеет доступ _исключительно_ к _своему_ каталогу.

Единственное, что нарушает идиллию - это иксы. Потому скайпа и стима у мну попросту нет.

drBatty ★★
()
Ответ на: комментарий от drBatty

не ставить ничего кроме как из оф. реп?

да

так не получится. Драйвера для некоторых принтеров отсутствуют в офф. репах, дополнения для браузера, как бы тоже HЁХ.

Deleted
()
Ответ на: комментарий от drBatty

ага. _полный_ аудит это по твоему «панацея»? ну-ну…

панацей вообще не бывает, а что имеете против аудита?

дык у меня браузер работает от особого юзера, и к моему $HOME доступа не имеет вообще.

то есть для обмена между юзером и браузером используется какой-то третий каталог, или к каталогу «браузерного» юзера доступ есть?

kott ★★★★★
()
Ответ на: комментарий от Deleted

так не получится. Драйвера для некоторых принтеров отсутствуют в офф. репах,

не надо покупать девайсы, если ты не доверяешь их производителю. А сложно доверять производителю, который закрыл сырцы драйверов.

дополнения для браузера, как бы тоже HЁХ.

ну про браузеры я уже говорил.

drBatty ★★
()
Ответ на: комментарий от kott

панацей вообще не бывает, а что имеете против аудита?

отсутствие Over9000 аудиторов. Вот наша КроваваяГБня таки нашли Over9000 аудиторов, и теперь мы имеем мертворождённую МСВС. За то с аудитом.

то есть для обмена между юзером и браузером используется какой-то третий каталог, или к каталогу «браузерного» юзера доступ есть?

да, третий каталог. не вижу причин, из-за которых я не могу почитать/посмотреть файл из Сети.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.