LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , koobface, , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 4)

Дык хотфикс для джава-плагина еще вчера пришел с апдейтом. Вот в этом плюс линукса.

И вообще авторам вируса огромный плюс за то что хотя бы смогли заставить апплет запуститься под онтопиком.

tulskiy
()

в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки.

Представил если такой зарозит хостинг провайдера. Да у самого порой аптаймы по 10-12 дней, раньше были больше на домашнем лаптопе. И таки да, что java процессов не создает и порт не слушает?
Его моментально же по сетевой активности обнаружишь.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя

А больше никуда и не сможет. И таки да у меня 600 права. Но его серовно запустит java из браузера.
Да таки зашел на хабр. Во первых после предупреждения от java я его уже не запущу даже если представим себе, что я на url не посмотрю. И таки да директория .jana сразу бросится в глаза. Таки да с такими предупреждениями от java сталкивался только один раз когда приходилось грузить ssh в ISPmanager'е. Так что вообще без вариантов я думаю.

anonymous_sama ★★★★★
()

даешь https уже и подписанные java-апплеты. а то задолбали юзеров идентифицировать всякими механизмами при этом сама индустрия остается анонимной.

zyoung
()

Да кстати на сообщение лаборатории касперского, кто-то кинул годную пасту:

Уважаемый, хочу сделать небольшое замечание по теме вашего сообщения. Вредоносные программы в Ubuntu, MacOS (прежде известная как Free BSD), Windows есть изначально, причем, поскольку эти ОС разработаны в США, они внедрены туда американскими спецслужбами. Трудно не понимать того очевидного факта, что Интернет понадобился США именно в качестве глобальной системы шпионажа, слежки и манипуляции сознанием. Вот поэтому они поставляют в нашу страну и в другие страны Евросоюза заведомо порочные программы, и в база данных об уязвимостях содержится, по нашим оценкам (ДПЭ МВД России) не более 25% введенных на этапе разработки закладок. Грустно не понимать этого. Я бы очень хотел, чтобы все отдавали отчет себе в том, что нельзя подключать машины к Интернету, что нельзя использовать флеш-накопители, ибо это вредоносные технологии, которые имеют только шпионское, манипулятивное и вредоносное назначение. Люди, будьте бдительны!!! Рубен Искандарян +79262258258

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Тему не читал, где скачать вирус?

anonymous
()

Можно предположить, что для Линукс он и не был предназначен. Скопировался и запустился он за счет платформонезависимых функций (получить путь к хомяку), а вот с реестром облом.

anonymous
()

Теперь можно рубить бабла с клиентов под линем(до перезагрузки конечно), жаловаться им про вирусы, и нехороших хакеров. Спасибо, добрый вирусописатель. Реквест автозапуска и деструктивных действий

minakov ★★★★★
()

Это реклама...

...Каспера.

Deleted
()
Ответ на: комментарий от petrosyan

сушай бротела ты тут я смарю риальне один шариш чодакак. как мне в этам вашем убнутуту раитинг поднять вконтакте чтоб чотко все было. кому нада этот вирсус захребенить??

anonymous
()
Ответ на: комментарий от dirtytux

для имеющих яву есть антивирус:

aptitude purge openjdk-6-jre

derlafff ★★★★★
()
Ответ на: комментарий от Bod

Мне вот любопытно, непрописывание этой штуки в автозогрузку хотя бы гнома с кедами не реализована исключительно из лени автора? ;)
Нет, он просто не знал, что вирус заработает где-то, кроме Windows.

RussianNeuroMancer ★★★★★
()
Ответ на: это работает от mudus

почему еще никто не запостил: а в слаке это работает? мне просто интересно - в компах ноль, стоит слака, сам пробовать боюсь.
Поставишь Яву - заработает.

RussianNeuroMancer ★★★★★
()

Firefox решето!

>Описанный механизм был мной проверен на операционных системах Windows, Linux и OS X. Так, на Ubuntu после закрытия Firefox


Сей вирус ставиться как апплет к фаерфоксу? Так давно понятно, что Firefox решетто!

Windos7
()

Так... Жабу, вроде, поставил. На фсбуке кое-как зарерился. Что дальше-то делать? Или еще надо под рутом залогиниться?

Ichiro
()

Ой, ну его хоть конпелять нужно, только зависимости удовлетворить.

Lighting ★★★★★
()
Ответ на: комментарий от andreyu

Пишу кросс-платформ последние лет 8 :) Особо сложного ничего нет.. Есть некоторые сложности с сокетами на больших серверах, но тоже преодолимо.

HappySquirrel
()
Ответ на: комментарий от Lighting

Ему, кстати, можно скормить отдельную жаву

Hokum ☆☆☆☆
()
Ответ на: это работает от mudus

> в компах ноль, стоит слака
Взаимоисключающие параграфы

Nebulosa
()

Сперва perl, теперь Java, что же дальше придумает Лаборатория?

Linux мир замер в ожидании, пополнив запасы попкорна..

Nebulosa
()
Ответ на: комментарий от anonymous

> а вот с реестром облом.

Да ну. Это не проблема. Решения на уровне трезвого пользователя.

anonymous
()
Ответ на: комментарий от Trojan_Winlock

>да, не сможешь. Но много ли таких аскетов, которым не нужен ни Флеш (Ютьюб) ни Джава? Т.е. которые ходят только на ЛОР?

С Флешем еще ясно, но Джава зачем нужна?

anonymous
()

Явы нет, соц сетей нет, привычки запускать всякую хрень незнамо откуда тоже нет. Апокалипсис отменяется.

ugoday ★★★★★
()

>Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

Ну что ж, рады встрече.

Пока этот «вирус» на том уровне, при котором что бы его пустить в систему нужно буть откровенным ССЗБ и то до первой перезагрузки. Хотя учитывая уязвимости в firefox, то можно предположить, что в будущем подобные вирусы покажут себя более красочно.

Genuine ★★★
()

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

У многих лоровцев есть же такая привычка, не ходить по ссылкам. )

unixnik ★★★★★
()

>Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

Под администратором работать не надо и все будет не хуже чем в линуксе. Правда в лине su/sudo/gksu и т.д. удобнее реализовано чем убогий runas.

syvnet
()
Ответ на: комментарий от Trojan_Winlock

> Хочется, что бы люди как-то... ну не знаю...каким-то чудом лишились в мозгу сегмента «зла» и можно было бы спокойно запускать ПО в Инете и с бумажником ездить в кармане в Общ-транспорте...

Ты действительно этого хочешь?

Или это пустые слова? Пустые жалобы, горький плачь о жестокости этого грубого мира?

sin_a ★★★★★
()
Ответ на: комментарий от RussianNeuroMancer

>> Флеш вынужденно стоит, ибо тытруба без него не работает.

http://youtube.com/html5.

Ну и как там им без регистрации пользоваться?

Napilnik ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

обязательно найдутся идиоты, которые пустят его под root(Administator). И конечно же, в этой ситуации будет виноват линукс (винда), файрефокс (интернетэксплорер) — все, кроме идиота, его запустившего.


Об этом и речь, в чем проблема?


Проблема в том, что если в программе вшит 'rm -fr /' или 'format c:', то виноват пользователь, который сидит под рутом и ее запускает. Более глобально, виноват пользователь который выбрал такую систему где ему надо сидеть под рутом. Или по вашему надо получать систему без рута/администратора от самого бога уже сконфигурированную и с программами?

А вообще, я не против иметь такую систему без рута :), вшитую в систему намертво и с отломанным коннектором для перерепрошивки, только ведь все равно, надо иметь возможность удалять пользователю пользовательские докумены и автоматизировать этот процесс тоже надо. Вот кто-то мне и подсунет такой скриптик, который мне их и удалит автоматически.
В итоге прошитая операционка будет девственно чиста, надежна и без вирусов, но данные удалены и я праведно воскричу:
Вирус!! «Об этом и речь, в чем проблема?»

Покупайте калькуляторы батенька. Они надежны :)

dromer
()

Как всегда несправедливость в венде — первоклассные вирусы. А нам достаётся низкокачественный софт!

Дайте хотя бы ссылку на вирус, пожалуйста!

anonymous
()
Ответ на: комментарий от dromer

скоро специально для Вас гугля допилит свою хромоось

Hokum ☆☆☆☆
()
Ответ на: комментарий от annoynimous

Поэтому я не хочу его популяности, я хочу, чтобы линукс стал ОС для технической элиты

Дурная логика какая-то, т.е. вместо того чтобы повышать общий уровень культуры использования ПК в повседневной жизни, вы предлагаете огородится и тухнуть в своем мирке. Я так поддержки сканера, портирования FineReader'a, портирования флешеров для телефонов (XS++ не в счет), регулировки яркости в блобе nvidia на ноутбуке, никогда не дождусь, а все только потому, что на Linux'e должна сидеть «техническая элита», которая если что, за чашкой утреннего кофе себе с утра драйвер для ТВ-тюнера допишет, если его нет, а то производителю плевать на ~1% пользователей linux'a от общей массы, пусть он хоть десять раз элитен.

Я предпологаю, что под «технической элитой» вы подразумеваете не низкопробных администраторов с бутылкой пива в качестве основного инструмента, а компетентых программистов, математиков и т.д., т.е. предположительно, число пользователей перестанет иметь значение, поскольку такое сообщество само в состоянии в большой степени заменить поддержку производителей железа или написать некоторые отсутствующие программные продукты, но это тянет на утопию какую-то. А вот

И именно поэтому я всячески желаю успеха МакОС
Донесет до производителей мысль, что в природе есть не только винда

Linux'у это никак не поможет, успех МакОС донесет до производителей только одну мысль - в природе, помимо Windows, есть еще и MacOS, вот и все.

максос больше похожя на линукс

А не на *BSD?

В общем я что хочу сказать, «Линукс для элиты» - это скорее плохо чем хорошо, я вам предлагаю не «Линукс для элиты», а «дистрибутив линуха для элиты», пусть, скажем, та же Ubuntu притягивает народ на себя, а вы взамен такой популярности получаете нормальную поддержку производителей железа, фирменные утилиты от вендоров ноутбуков, продукты программные которые разработчики отказывались переносить в Linux под предлогом низкой востребованности и т.д.

Meydert
()

Есть мнение, что пора уходить в подполье. В смысле ставить selinux и резать с его помощью доступ браузерам к файловой системе. Неприятно, муторно, но куда тут денешься.

zloelamo ★★★★
()
Ответ на: комментарий от valich

чувак просто не знает, что не все вирусы сразу выводят на экран порно и требуют послать sms

Hokum ☆☆☆☆
()

при включенном SELinux заражает?

ССЗБ.

dikiy ★★☆☆☆
()

Ну вот и славно что такой троян появился. Хотя бы проверим кто сидит без AbBlock/NoScript, смотрит «прекольное видио с ютйуба», пользует не OpenJDK (судя по отзывам на нем подарок не работает), да и вообще тыкает «да» на каждый вопрос компа об установке доп.плагина не разбираясь в чем дело.

upcFrost ★★★★★
()
Ответ на: комментарий от Trojan_Winlock

>Флеш, пока не причем, хотя он основной виновник современных заражений, потому что без него за ПК не развлечешься в Интернете, не сможешь пользоваться нормальными веб-2.0-сайтами.

В инете развлекаюсь. Флеша нет. ЧЯДНТ?

dikiy ★★☆☆☆
()
Ответ на: комментарий от Zhbert

>Флеш вынужденно стоит, ибо тытруба без него не работает. А явы нет. И не было никогда.

ЛОЛ. gecko-mplayer + greasemonkey спасет отца...

dikiy ★★☆☆☆
()
Ответ на: комментарий от Trojan_Winlock

>Любители безопасного Линукса такие аскеты... А есть куча людей, которым все эти ваши НоСкрипт и ФлешБлок неудобны.

Ну так хто им доктор?

Да и не нормально это, понимаешь? Таких плагинов вообще не должно было быть - это все результат «безопасности» джавы и флеша, а значит и безопасности самих ОС. Так что ограничивать себя этими затычками как раз и есть идиотизм. Нужно, что бы «все работало сразу», что бы контент на сайте открывался без лишних телодвижений.

Флэш дырявый как решето. Потому он должен сдохнуть. NoScript нужен хотя бы затем, чтобы рекламу не смотреть, когда не хочется. Ну и чтоб проц не грузил лишний раз.

dikiy ★★☆☆☆
()

А вообще я себя как-то странно чувствую. Мало того, что с утра кто-то в Интернетах часы перевел, так еще полчаса вдуплял почему на linux.org.ru СЛОР оказался.

valich ★★★
()

Ой... ну подумаешь... Вирусы под линукс были и раньше, этот отличается лишь тем, что его не надо компилять.

nixtrian
()
Ответ на: комментарий от Enot52

> Бедняжка, вирусы одолели, да?

Ага. Сегодня цепанул.
Enot52.Killer.W32

valich ★★★
()

Так вот почему в ArchLinux вчера Java обновилась. Однако уже прогресс - целых три дня под линукс был один троян!

simplex
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.