Rootkit, который выдерживает переформатирование диска

и какой размер выйдет ? пару байтиков хватит

>"локальный доступ к серверу"

Есть у админа. А у админа зачастую нелады с начальством... ;) Новый админ первым делом систему переустановит. И наврядли будет вайпить _весь_ жесткий диск.

>вас сервера в одной сети с рабочими станциями, а тем более с НОУТБУКАМИ???

Смотря какие, контроллер домена, сервер БД не можгут находится в другой сети.

Кроме того, не обязательно так извращаться. Перхватывать 19-е прерывание. Можно стирать случайный сектор при загрузке. Геморрой обеспечен! И много ума такую прогу смастерить не надо, и размер в 10-20 байт должна уместиться...

О! А ЭТО ИДЕЯ!!!!

>>"локальный доступ к серверу"

>Есть у админа. А у админа зачастую нелады с начальством... ;) Новый админ первым делом систему переустановит. И наврядли будет вайпить _весь_ жесткий диск.

извините, но такое катит только в варварских странах ;)))

а варварских странах за такое админа могу и за причандалы подвесить, а не просто посадить, как в цивилизованных ;)

>>make install и установочные скрипты в пакетах всегда выполняются от рута. Покажите мне человека, который реально сидит отдупляет, куда там что прописалось при make install...

И не было у них контрольных суммммм. Тяжко. Контору, которая такой бекдор в свой опен сурс заткнет и опубликует, порвут как тузик грелку дня через три, не позже.

ЗЫ ИМХО вирь на видюхе реально. Бо биос это программа. Программа которая исполняется сама. Так что с запуском тела проблем нет.

Даже в варварских странах без доказательной базы за причиндалы не вешают. И даже в цивилизованных странах к админу относятся совершенно по-варварски ;) И доказать такое ну просто невозможно...

Не принимай ты так близко к сердцу, все это - поток сознания... Одних работать ломает, вот они и выдумывают "новые" руткиты, а другие их выдумки комментируют.

>ЗЫ ИМХО вирь на видюхе реально. Вся проблема в том что видеобиос исполняется до POST'а, а поэтому у тебя ничего нет. Таблица прерываний не инициализирована, устройства не инициализированы. Хотя, с другой стороны, если образ биоса уже есть в оперативке - то можно много чего интересного сделать...

> 22 байта, overwrite вирус.

21. Публиковался то ли в Infected Voice, то ли в Chaos A.D., то ли в MoonBug.

>А по поводу полиморф вирусов, вон вспомнилось, первый полиморф, которого я подхватил был OneHalf. Помнит кто такой вирь? :)

Я помню!!! Лет 10 назад подхватил на 486, он мне всё уничтожил :) Много друзей поимели его от меня через дискетки. Эх, вот времена были... Ностальжи.

>make install и установочные скрипты в пакетах всегда выполняются от рута. Покажите мне человека, который реально сидит отдупляет, куда там что прописалось при make install...

Например, в Gentoo есть sandbox и CONFIG_PROTECT (погугли про них), так что риск там довольно-таки низкий. А если админ ставит на сервер что попало и не следит за Makefile, то он ССЗБ

Ну что приходит на ум... Модульный вирь, пишем загрузчик, к примеру, во флэху видюхи, грузим основной модуль виртуализации и ring0 винды или ядро linux грузится в виртуальную среду. последствия предсказуемы.

В качестве примера "тонкой прослойки" среды виртуализации реального железа - OpenVZ

OpenVZ совсем не виртуализует железо, кури бамбук активее, Nee_Loox!

>Патчим любой компонент системы, все что нужно для этого у нас есть

Что-то я не понимаю.

Хорошо, поселился у меня вирус. Беру НОВЫЙ винт - как вирус будет действовать дальше?

Она же размножаться не будет...

>Есть у админа. А у админа зачастую нелады с начальством... ;) Новый админ первым делом систему переустановит. И наврядли будет вайпить _весь_ жесткий диск.

У Вас очень превратные понятия о "системных администраторах" и правильной организации работы тех. отделов.

> Смотря какие, контроллер домена, сервер БД не можгут находится в другой сети.

Очень даже могут и очень даже надо. Все доступы к сервисам требующие разные подходы к обеспечению сетевой безопаности должны находится в разных подсетях, в разных вланах, быть доступны друг другу через центральный маршрутизатор должен быть разрешен только авторизированный трафик и очень отлично если он (машрутизатор) по совместительству еще и IPS. Это очень коротенько базовый принцип организации tcp/ip сетей.

Тогда не будет веселых историй, когда пришедший журналюга с рассадником vsyacheskogo software в виде ноута и просящий доступ в нет, ложит все непропатченные 2000 в 20 минут.

> А по поводу полиморф вирусов, вон вспомнилось, первый полиморф, которого я подхватил был OneHalf. Помнит кто такой вирь? :)

ага, это мой первый вирь :)

Баян, да к тому же как всегда у Бёрди - только под венду. Небось в преддверии свисты вирмейкеры зачесались и через 5 минут родилась готовая концепция с proof-of-concept кодом.

А у нас вечно фигня какая-нибудь помешает - то рутовых прав не будет, то selinux/rsbac/apparmor по жопе надает, то модуля нужного в ядре дистрибутивном за последние лет 5 не найдется... печальный мир.

Или это автор на сетевушках научился в 21-веке boot-rom напаивать, ась? ;)

jackill>Хорошо, поселился у меня вирус. Беру НОВЫЙ винт - как вирус будет действовать дальше?
[..]
jackill>Она же размножаться не будет...
ты хочешь сказать, что он на винте яйца хранит?
Ж:-0

> make install и установочные скрипты в пакетах всегда выполняются от рута. Покажите мне человека, который реально сидит отдупляет, куда там что прописалось при make install...

Простите, но я всегда именно так и делаю. Т.е. делаю make install всегда только от обычного юзера. Кстати весьма помогает когда нужно потом искать куда нагадил "make install"

>Что-б стартануть с bootrom`а надо что-б в bios`е было разрешенно это, а bios нынче от записи хорошо защищают ...

Учитывая жадность юзверей до перепрошивания биоса и всяких вкусностей, а так же наличия огромного количества всяких прошивалок, всё это возможно. Но в таком случае опять-таки вирус должен обеспечиваться стартовой базой. То есть скомпрометированый прошивальщик, и всякое такое. А уж про 1 и 2 мб флешки для биоса, мать их асус, я лично знаю.

В любом случае само оно пока еще не влезет. Если конечно не будет как с компаками раньше, где биос на харде вааще был

> Кстати весьма помогает когда нужно потом искать куда нагадил "make install"

а Вы перед "make install" в makefile не пробовали заглядывать? там есть разделы install*:

>ты хочешь сказать, что он на винте яйца хранит?

Я хочу сказать - учитесь читать, сукины дети, тему и реплики.

Вирус, выживающий ПОСЛЕ ПЕРЕФОРМАТИРОВАНИЯ винчестера.

И я сказал - взял я НОВЫЙ винт.

>make install и установочные скрипты в пакетах всегда выполняются от рута. Покажите мне человека, который реально сидит отдупляет, куда там что прописалось при make install...

Странные вы ребята :), меня всегда учили собирать 3rd party программы и делать их make install под непривилигерованным пользователем :) -- и ты точно знаешь, что и куда оно "тихо" хотело писать или не хотело. Пропатчить Makefile для того, чтобы даже самые кривые проги ставились без рута в какой-то DESTDIR - явно не проблема. Ну на крайний случай есть fakeroot Debian'овский :))

А уж потом - переносишь то, что получилось туда куда хочешь (уже под root'ом) :)))

или --prefix задать...

jackill>Я хочу сказать - учитесь читать, сукины дети, тему и реплики. А я хочу сказать - что вирусус хранится в флэше. Учись читать тему, сын осла.

>> А по поводу полиморф вирусов, вон вспомнилось, первый полиморф, которого я подхватил был OneHalf. Помнит кто такой вирь? :)

я помню... какой то приятель на своем носителе приволок... вот только идентифицировал я его быстро ибо в то время винт у меня был 20 метровый STшка так что по лишним продолжительным "телодвижениям" сразу заметно было :-) благо диск до конца закриптовать и самоубица он не успел...