LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , koobface, , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 4)

Из новости понял, что:

1. Есть возможность подцепить этот бот-клиент. В равной вероятности, как под виндоус, так и под линукс.

2. Отключение функциональности браузера не выход.

2.1. Можно и под винду и под линукс пользоваться тем же elinks, можно ограничивать область ответственности браузера, и в линукс и в виндоус за счет разграничения прав или запуска в какой-нибудь песочнице, вплоть до виртуалбокса.

3. Если цепанул, значит ССЗБ.

4. Паранойя.

anonymous
()
Ответ на: комментарий от Trojan_Winlock

или 64-битный!!! BackDoor.Tdss


А что такого в 64-битности ? Ну скомпилили его поставив галочку что бы 64битным был, и что это ему дает, кроме того что видимо он перестанет работать на 32битной венде (которой большинство все же)

anonizmus
()

Червь на Java - это же fail by design, не?

Insomnium ★★★★
()

В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на JAVA)

Дайте запусти, дайте запустить, дайте...wait, I don't have a JAVA. Shit!

Andru ★★★★
()
Ответ на: комментарий от Trojan_Winlock

А Джава есть у тех, у кого ВиртуалБокс

Трололо, такое трололо...

Andru ★★★★
()
Ответ на: комментарий от Zhbert

Так это. Социальные сети и ява не нужны же.

сейчас уже движки форумов предлагают войти на фэйсбук и твиттер, зайти на форум через фэйсбук и твиттер, показывают статусы с фэйсбук и твиттер, показывают сообщения с фэйсбук и твиттер.

от этого массового безумия и впаривания этого шлака никуда не деться. чуть что в новостях - фэйсбук и твиттер (у нас - быдлоклассники и вконтакте). мир обезумел, одина лишь антисоциальная сеть и спасает - LOR

tommy ★★★★★
()
Ответ на: комментарий от anonizmus

У меня трафик лимитирован, поэтому отключение кэша = много лишнего трафика. Как лучше для вас не знаю.

vadik ★★
()

чорд, неужели для того, чтобы заиметь этого няшного червячка, обязательно иметь регистрацию на щебете, лицокниге или МоёмКосмосе? а на торрентах скачать можно? если качать отдельно, то ему JAVA_HOME куда указывать? или он сам найдёт?

arsi ★★★★★
()
Ответ на: комментарий от vadik

Да не, мне то и на вирус и на трафик пофигу, я просто напомнил что у браузеров есть директория с кэшем куда тоже можно писать, а если делать перед запуском ридонли то кэш получается дисковый не будет использоваться (браузер ваще заработает ли, если не будет записи в дисковый кэш ?)

anonizmus
()
Ответ на: комментарий от anonizmus

Я же вроде предположил ридонли для всего кроме ...(список составляет каждый сам для себя). Хотя сам такой вариант пока не опробовал, у меня запуск от отдельного пользователя вполне справляется с паранойей.

vadik ★★
()
Ответ на: комментарий от anonizmus

> У ливцд не ридонли хомячек, а просто в памяти фс лежит.

Точно. Не подумал.

anonymous
()
Ответ на: комментарий от vadik

Так в браузере итак разделение есть - на кэш в памяти и на дисковый, и не факт что во всех браузерах дисковый можно отключить (я просто не знаю а пробовать лень %-)

Короче лажа это все, наверное, делать ридонли для браузера, неудобно будет им пользоваться (например сохранить картинку или файл скачать, нужно будет копировать ссылку и вгетом тянуть каждый раз ? А как смотреть онлайн фильмы, для тех у кого памяти мало, куда они будут буферизироваться ?)

anonizmus
()
Ответ на: комментарий от anonizmus

Ну не делайте папку для скачивания и кэш ридонли, раз памяти мало, тут для каждого отдельного случая нужно свой вариант подбирать. Просто как костыль для защиты от подобных недовирусов наверное подойдет.

vadik ★★
()
Ответ на: комментарий от vadik

Как костыль - не нужно просто запускать незнакомые аплеты с левых сайтов. Это примерно такое нормальное правило если идешь по улице и видишь валяется банка пива, на дороге, я бы не стал поднимать - мало ли, вдруг там бомба, и че, я могу пиво и в ларьке купить, нахрен мне оно грязное я же не бич какой %-) Так и с этим.

anonizmus
()

джавы в системе нет и не планируется - новость побоку

izmena ★★
()

Апплет использует JAVA-уязвимость

А причем тут линукс?

Freiheits-Sender ★★
()

Ссыль на вирус, или на сайт где-нибудь есть?

AlexP
()

> Trojan_Winlock

А однострочник на перле не пробовал запускать из-под рута? Поищи на лоре - знатный был тред, былинный.

Эксперт лаборатории Касперского пишет, что информация про Ubuntu не подтверждена.

На буржуйском сайте, где описано действие «трояна» в Ubuntu, справа вверху характерный логотип «Microsoft certified partner».

firstep
()

ждем ебилдов

anonymous
()

Чёт не интересно, первый кроссплатформенный червь, на джаве, просит установиться сам, так ещё и работает коряво, до первой перезагрузки, я ожидал от новости большего =(

Когда уже научатся писать хоть что-то кросплатформенное, чтоб оно хорошо работало по назначению (игрушки не в счёт)?

Eichhorn
()
Ответ на: комментарий от anonizmus

> Это глупость а не «червь». Потому что оно должно само размножаться, а не требовать того что бы я зашел на фейковую страницу и руками запустил зловредный аплет. Тогда уж можно и не аплет а на js накорябать какой нить код, или на сильверлайте, и назвать это червем.

Конечно это не совсем полноценный вирус, но наивных людей, жмущих на что попало до сих пор очень много.

anonymous_incognito ★★★★★
()

(комментариев не читал) Он в ~ гадит своими файлами, если ты не знаешь что у тебя в ~, то сам себе злобный буратина.

mixer82
()
Ответ на: комментарий от Trojan_Winlock

Эээ... Это с каких это пор виртуалбокс требует джаву,я что-то пропустил?

Deleted
()
Ответ на: комментарий от Trojan_Winlock

> потому что без него за ПК не развлечешься в Интернете

Врать бросай, да.

sv75 ★★★★★
()

Имеется в виду уязвимость в sun-java? В убунте-то IcedTea

Aceler ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

> Т.е. джава ему не нужна? да ну, всю жизнь тянет за собой Джаву, как и ООо, кстати. А ООо стоит у 99% линуксоидов.

==> virtualbox_bin dependencies:
- libidl2 (already installed)
- libxcursor (already installed)
- libxinerama (already installed)
- libxslt (already installed)
- curl (already installed)
- gcc (already installed)
- make (already installed)
- kernel26-headers (already installed)
- python2 (already installed)

Про джаву, кстати, тоже - она всегда спрашивает, хотите ли вы запустить это говно? Доверяете ли этому сайту?

Так что вирус хомячковый и опасности не представляет.

pekmop1024 ★★★★★
()
Ответ на: комментарий от firstep

>А однострочник на перле не пробовал запускать из-под рута? Поищи на лоре - знатный был тред, былинный.

Как он запустит-то? У него ведь домашняя базовая.

paran0id ★★★★★
()
Ответ на: комментарий от anonymous_incognito

но наивных людей, жмущих на что попало до сих пор очень много.


А все мне кажется из-за того что привыкли на все попало жать «далее» из виндоуса, где постоянно приходится это делать не читая диалоговые окна. Т.е. в линуксе вот что мне нравится - здесь в программах нет постоянного насилия кнопками «далее, вы уверены, абсолютно уверены, поставьте галочку » и проч.

anonizmus
()

Встречаем с распростертыми java расширениями

Forshmak
()
Ответ на: комментарий от Ramil

Не нуачо, поцоны скозали убунта типо венда без вирусов токо офицальную не ставь а с ператки скочай там серийник кряк и всетакое.ну я чо лох поставил а тут такое без косперского никак...

petrosyan ★★★★★
()
Ответ на: комментарий от paran0id

Ну, это как бы между строк подразумевается :)

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от petrosyan

Не ну чо правилно, ты кочал то Зверя там же это, все уже настроено, ну типо вконтактики однокласники твиттеры и всякие там яндексбары!

Ramil ★★★★
()

>Twitter, Facebook и MySpace

ненужно

Youtube и посмотреть «прикольный ролик»

ненужно

Для просмотра требуется Java-апплет (jnana.tsa)

нафеёоха? пускай хтмл5 используют

пользователь соглашается

а ещё можно яйца дверью прищемить

реестр

ненужно

автозапуск

ненужно

Лаборатория Касперского

тем более ненужно

thunar ★★★★★
()

>В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java)

ОБОЖЕМОЙ МЫ ВСЕ УМРЁМ!!!

Говнище-то. Вот раньше, я помню, один чувак из одной легендарной команды (название забыл) писал полиморфный кроссплатформенный вирус на голом ассемблере (емнип), который умел загружаться и под маком, и под виндой, и под линаксом. Успехом дело не завершилось, но, блин, это же всё равно так круто :)

yoghurt ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

Так тебе и надо, социальный хомячок ;-)

И ты неправ, для Web 2.0 нужен AJAX, а не флэш.

Господи, сдела еще сто таких троянов, которые вые...ли бы в дупу миллионы тупых лемингов.

Sanitar
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.