LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , koobface, , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 4)
Ответ на: комментарий от derlafff

А если у меня нет явы, значит я не смогу заразится?

да, не сможешь. Но много ли таких аскетов, которым не нужен ни Флеш (Ютьюб) ни Джава? Т.е. которые ходят только на ЛОР?

Trojan_Winlock
() автор топика

ClamAV его ловит?

OpenJDK уже исправлен?

debian6
()

а зачем нужна ява на десктопе?

devl547 ★★★★★
()

очень сложно заметить процесс жрущий овер 150м памяти )

anonymous
()

Ура, товарищи!

AX ★★★★★
()
Ответ на: комментарий от derlafff

Причем тут флеш? В шапке написано только про яву

Флеш, пока не причем, хотя он основной виновник современных заражений, потому что без него за ПК не развлечешься в Интернете, не сможешь пользоваться нормальными веб-2.0-сайтами.

А Джава есть у тех, у кого ВиртуалБокс, например, или другой Джава-софт стоит, например Vuze.

Trojan_Winlock
() автор топика

>UBD: Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.
Бугага ) Каким раком? нет ведь никаких средств к само-репликации

anon1984
()
Ответ на: комментарий от anon1984

язабан. новость - бред

Почитай комменты на Хабре. Он хоть «и не нужен», но там юзеры, в отличие от местных октябрят, привыкли оперировать пруфами, а не метанировать лужи. Там пруфов горы про то, какой «безопасный» и «неуязвимый» Линукс.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

да, на хабре новость уже часов 8 висит. пейсатели новостей на Лор такие пейсатели. если что, я сейчас только против репостинга откровенной желтизны

anon1984
()

Бида! Бида! Кде срочна скочать косперскорсково для линух с члючем, безсплатно и без sms? Нужна имено для убунты 10.05 Ultimate. Пешите в личку!!!111

petrosyan ★★★★★
()

Ждём ебилдов, чо! :)

anonymous
()
Ответ на: комментарий от anon1984

пейсатели новостей на Лор такие пейсатели.

Честно говоря, я удивлен, что эту новость даже в Толксах не обсуждали, хотя видел ее вчера вечером.

А «пейсатели», ну так, за постинг новостей на ЛОР никто не платит, так что «это ОпенСорс, детка, сделай лучше».

против репостинга откровенной желтизны

Во-первых, это не репостинг, а переработанная новость (рассказанная своими словами), так что захлопни варежку.

Во-вторых, «эту желтизну» уже лично опробовал не только спец по безопасности ParetoLogic, но Лаборатория Касперского и даже хаброюзеру удалось ее воспроизвести.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

>Но много ли таких аскетов, которым не нужен ни Флеш (Ютьюб) ни Джава?

Флеш вынужденно стоит, ибо тытруба без него не работает. А явы нет. И не было никогда.

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

А явы нет. И не было никогда.

Знаешь, а ведь многие пользуются ВиртуалБоксом, Vuze и кучей другого джава-софта, играми, например, кстати.

Trojan_Winlock
() автор топика

То о чем так долго твердили большевики, свершилось!

Viva la Java!

wfrr ★★☆
()

«Хабра», «Лаборатория Касперского»... Очередной «казахстанский вирус» типа «запустите меня, я сам не умею %(»... /me посылает поток теплой желтоватой жидкости в лицо аффтаров.

ei-grad ★★★★★
()
Ответ на: комментарий от Zhbert

Вбокс на цпп написан

Т.е. джава ему не нужна? да ну, всю жизнь тянет за собой Джаву, как и ООо, кстати. А ООо стоит у 99% линуксоидов.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

>Во-вторых, «эту желтизну» уже лично опробовал не только спец по безопасности ParetoLogic, но Лаборатория Касперского и даже хаброюзеру удалось ее воспроизвести.
ты им про однострочник на перле расскажи, того же сорта «вирус», пусть повоспроизводят

захлопни варежку

в игнор, детка

anon1984
()
Ответ на: комментарий от Trojan_Winlock

Джава-то может и есть, а вот именно плагина для браузера нет, потому как он не ставится вместе OpenJDK. А VirtualBox даже не просит джаву.

daemonpnz ★★★★★
()
Ответ на: комментарий от bender

>ну наконец-то появилось хоть что-то стоящее

зараженный ПК остается ботом только для первой перезагрузки

/0

xorik ★★★★★
()
Ответ на: комментарий от xorik

зараженный ПК остается ботом только для первой перезагрузки

У тебя, наверное, Дайл-АП и ты комп выключаешь 5 раз в день, да?

Trojan_Winlock
() автор топика
Ответ на: комментарий от xorik

А ты поверил, что на линуксе нет вирусов? :)

Я знаю, что есть, либо не так сложно сваять. Это фанатики устраивают акты дефекации стройматериалами.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

>А ООо стоит у 99% линуксоидов.

В ooo java нужна только разве что для сторонних расширений, а так без нее вполне обойтись можно.

petrosyan ★★★★★
()

Херня это какая-то, а не вирус.

amorpher ★★★★★
()

Так, я не понял, а ссылка на вирус будет или просто все посмотрели какие-то картинки и верят, что есть вирус. Пока сам не проверю не поверю.

daemonpnz ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

>Там пруфов горы

Мальчик, этих «пруфов» за последние несколько лет была масса. И?

Я даже рад, что что-то подобное появилось. Будет повод командам безопасности чуть-чуть подкрутить AppArmor/SELinux.

По классу опасности (не смотря на свою хитросложность) этот зловред стоит на одной полке с обфусцированным rm -rf. Причем от последнего вреда больше.

Нужно понять, что GNU/Linux дистрибутивы еще не включились в соревнование «брони и снаряда» с зловредными программами. Но это не значит, что никаких средств у нас нет. Наоборот, все готово и ждет сигнала.

Это и RBAC, и тот факт, что любой системный файл находится под учетом пакетного менеджера, и возможность запуска антируткит-ревизора до загрузки даже основного ядра, и возможность хранения конфы в системе контроля версий, и поддержка различных гипервизоров.

А самое главное — открытость. Короче, мы можем дать достойный отпор всяким зловредам, особенно сабжу, представителю быдло-класса HLLP.

Macil ★★★★★
()

ява не безопасна.

uju ★★
()

Ты идиот? Тем, кому нажны жаба-апплеты включают их только на тех сайтах, где они нужны, в остальное время жаба отключена по-умолчанию. Равно как и флеш блокирован по умолчанию флешблоком. Так что вали на свой хабр, «специалист по дырявому линупсу»

annoynimous ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

>Т.е. джава ему не нужна? да ну, всю жизнь тянет за собой Джаву, как и ООо, кстати. А ООо стоит у 99% линуксоидов.
OOo стоит, с ним OpenJDK. субж не работает. опять на^W обманули (

anon1984
()
Ответ на: комментарий от Trojan_Winlock

> Я знаю, что есть, либо не так сложно сваять. Это фанатики устраивают акты дефекации стройматериалами.

Да, только пользователи Линукса - это не виндузятники, они по странным сылкам не ходят, и всякую фигню не запускают. В основном, эти люди умеют пользоваться компьютером (в отличии от тех же виндузятников). А это, батенька, лучше любого антивируса. Под линукс вирусы есть давно, но с экономической точки зрения они никогда не будут рентабельны (отношения затрат на разработку вируса к выручке от его использования).

Так что так.... Не устраивайте панику, срочно качайте антивирус Попова, ой.... т.е. Касперского, зря он что ли вирусы придумывал ))

User2X
()

А давайте, соберемся и напишем свой, настоящий зловред под линух. А то стыдно как-то. Под венду есть нормальные, а нам достается всякое говно, написанное косорукими и бездарными. И так за годом год. Развивается, блин, просто целый комплекс неполноценности.

Нет. Правда. Есть же проект по написанию абсолютно небезопасного сайта. А мы чем хуже?

Macil ★★★★★
()
Ответ на: комментарий от annoynimous

в остальное время жаба отключена по-умолчанию. Равно как и флеш блокирован по умолчанию флешблоком.

Любители безопасного Линукса такие аскеты... А есть куча людей, которым все эти ваши НоСкрипт и ФлешБлок неудобны.

Да и не нормально это, понимаешь? Таких плагинов вообще не должно было быть - это все результат «безопасности» джавы и флеша, а значит и безопасности самих ОС. Так что ограничивать себя этими затычками как раз и есть идиотизм. Нужно, что бы «все работало сразу», что бы контент на сайте открывался без лишних телодвижений.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Trojan_Winlock

Какую тенденцию? Что идиоты которые зарабатывают деньги на таких статьях пишут об этих «вирусах» под Linux всё так же как и 10 лет назад?

Пруф - http://www.webmasterworld.com/forum91/2790.htm

В гугле таких over 9000.

ei-grad ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

А я FlashBlock ставлю, чтобы рекламу не смотреть, ЧЯДНТ? При чем здесь безопасность?

daemonpnz ★★★★★
()

Я так понимаю, если у меня, к примеру, ФФ запущен от имени пользователя «без права голоса», плюс носкрипт, плюс адблок, то я опять в пролете и очередной мегавирус для линукс снова проследует в направлении части поверхности земли покрытой древесными растениями?

vadik ★★
()
Ответ на: комментарий от Trojan_Winlock

>А есть куча людей, которым все эти ваши НоСкрипт и ФлешБлок неудобны.

Бу-га-га-га. А масса людей таскает бумажники в задних карманах. Масса людей оставляет без присмотра личные вещи в общественном транспорте. Масса людей оставляют ключи в замке. И? И тоже, наверно, неудобно.

Macil ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

сразу все «работает» только в виндоус. эта система расчитана как раз на таких людей, которые хотят все и сразу, а получают звонкий хрен за кучку денежных средств.

User2X
()
Ответ на: комментарий от User2X

Да, только пользователи Линукса - это не виндузятники, они по странным сылкам не ходят, и всякую фигню не запускают.

Ты ведь не будешь отрицать, что среди вендузятников есть огромный процент грамотных пользователей, которые давно для себя уяснили нормы поведения в Интернете? А «тыкающих во все» хватает и в Линуксе, поверь, а если он станет еще популярнее, то таких «грамотеев» увеличится еще больше.

Вот как будет думать хомяк:

«Линукс же безопасен, йопт, значит не страшно, если я установлю этот плагин, что бы посмотреть видео на сайте».

Кстати, то, что в испытаниях везде указана Убунта, как бы говорит нам...

Trojan_Winlock
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.