LINUX.ORG.RU

Встречайте: первый кросс-платформенный червь Koobface для Windows, Linux и MacOS

 , koobface, , , ,


1

1

То, о чем так долго говорили параноики - свершилось. В Интернете появился червь Koobface, который заражает основные ОС благодаря своей кросс-платформенности (он написан на Java). Это значит, что под ударом очутились пользователи как Windows так и Linux - систем.

Как это работает?

Червь распространяется по социальным сетям, таким как Twitter, Facebook и MySpace от лица существующего пользователя со взломанным аккаунтом от одних друзей к другим, по цепочке, с предложением перейти на фейк-страничку с Youtube и посмотреть «прикольный ролик». Для просмотра требуется Java-апплет (jnana.tsa). Если пользователь соглашается, то его ПК превращается в зомби-машину и работает на благо владельцев бот-сетей.

Апплет использует уязвимость в Java, в Linux-системах он копирует себя в домашнюю директорию пользователя, но не прописывается в файлы автозапуска. Поэтому зараженный ПК остается ботом только до первой перезагрузки. Однако, огромное количество пользователей могут неделями не перезагружать свои ПК или ноутбуки (скачивая торренты, например)...

Пользователи Windows страдают сильнее - там червь прописывает себя в реестр и автозапуск.

По ссылке в «Подробнее» оригинал сообщения с блога специалиста по безопасности компании ParetoLogic, который нашел червя первым.

Хабраюзер gjf повторил опыт и в своём сообщении на хабре подтвердил работоспособность зловреда:

http://habrahabr.ru/blogs/virus/107211/ (подробные скриншоты)

«Лаборатория Касперского» уже занялась этим червем описав его работоспособность в своем корпоративном блоге:

http://www.securelist.com/ru/blog/40157/Novaya_krossplatformennaya_ugroza_dlya_polzovateley_sotsialnykh_setey (подробные скриншоты)

Лаборатория Касперского сообщает, что из Северной Америки червь за сутки добрался уже до России.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 4)
Ответ на: комментарий от Trojan_Winlock

> Вот как будет думать хомяк:

«Линукс же безопасен, йопт, значит не страшно, если я установлю этот плагин, что бы посмотреть видео на сайте».

Нет. Человек будет знать, что тыкать он может куда угодно, но любые предложения что-то установить он должен отклонять.

По идее возможность такого запроса вообще надо отключить, ибо нефиг.

fffgh ★★
()
Ответ на: комментарий от User2X

>вирусы для Линукса есть - уяснили.

Это «уяснили» ещё когда на лор выложили однострочник на перле. Данный «вирус» от того скрипта не сильно отличатся - всё ещё надо самостоятельно запускать, давать разрешение на взлом и тд. Ладно хоть патчи самому писать не нужно.

fffgh ★★
()
Ответ на: комментарий от annoynimous

>Проблема в том, что в линуксе есть все средства не подхватить этот троян даже случайно — достаточно иметь отключенный по умолчанию флеш и яву.

Разве ява ставится по умолчанию? Особенно её плагин для браузера? Или нужно специально настроить систему так, чтобы вирус заработал?

fffgh ★★
()

хрень полная. во первых надо ссылки смотреть, во вторых не сидеть где попало с друзьями которые кто попало, школоту и 12 летних девочек во френдах держать не хорошо... а кого еще кроме них смогут взломать? Да и вообще, NoScript и AdBlock

ExpertOff
()
Ответ на: комментарий от Trojan_Winlock

>Ну, если ты очень веришь человеку, который прислал ссылку, то ты отключишь и НоСкрипт и ДжаваБлок, что бы посмотреть ролик или чего там он прислал.

Нет, не отключишь. Если ты «грамотный», то сразу понимаешь, что ссылка на неведомую фигню никакого отношения к знакомому не имеет. А если безграмотный - ты просто не будешь знать, как это запустить.

fffgh ★★
()
Ответ на: комментарий от annoynimous

Абсолютно все, что вы назвали - есть и под Windows.Или там уже предустанавливается flash и java? Права доступа так же дают возможность сделать какой-либо каталог read-only.

Enot52
()
Ответ на: комментарий от vadik

>Имелось ввиду что у пользователя, под учеткой которого запускается ФФ, нет никаких прав вообще.

Ну в интернет-то ему разрешено ходить? Значит к ботнету подключиться может.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

>На Убунту пересели все (ну не все, но многие) домохозяйки и прочая школота.

А у них все отключено. Джавы нету, Флеша нету... У них батхерт, потому что подруга прислала ролик или ссылку на игру, а она не открывается. Помаявшись пару раз они с удовольствием...

...начинают работать, учиться или что там им положено. А не кормить нарисованых свиней во всевозможных вконтактах.

Разработчики мега-игор, глядя на это, перестают плевать на пользователей и переписывают свои поделия так, чтобы они не создавали дыру в безопасности.

И все снова рады. И игры играются, и вирьё не лезет.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

> 2. Из-за политики СПО в Линуксе нужно многое доустанавливать дополнительно (кодеки, плагины, ну и всяко-разно)

Нет, не нужно. Всё ставится сразу, при установке системы.

А потому он совсем не удивится, если браузер предложит ему установить недостающий компонент.

Удивится. И откажется. Более того, правильный браузер вообще не должен такого предлагать.

fffgh ★★
()
Ответ на: комментарий от anonymous_incognito

> наивных людей, жмущих на что попало до сих пор очень много.

Кроме них существуют люди, настраивающие ПК. Которые запрещают всё, что вредит «наивному пользователю».

fffgh ★★
()

>первый кросс-платформенный

4.2

KRoN73 ★★★★★
()
Ответ на: комментарий от fffgh

правильный браузер вообще не должен такого предлагать.

Значит, огнелис - неправильный браузер. Он постоянно спрашивает у меня: «У вас не установлен вендоплеер, установить?», или «для отображения содержимого страницы нужно установить доп. плагин. Установить?». И не запоминает же, зараза, что мне все это не нужно.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Rubystar

Вообще уже джва года хочу операционную систему, где каждый процесс по умолчанию будет иметь своё собственное ведомое только ему пространство.

Такая уже есть. Называется Qubes. От той самой Жанны Рутковски. И конечно же это GNU/Linux.

Но в любом дистрибутиве можно проще простого изолировать приложение через легкие контейнеры. Сомтри LXC (оно уже в ядре из коробки) и OpenVZ.

Это тебе не винда. Как уже сказали, на складах полно оружия и все готово к бою.

anonymous
()
Ответ на: комментарий от annoynimous

Все равно вс, начиная с XP, работают в винде под администратором

Допустим, не все, но некоторые пищат, но пытаются запускать иксы под рутом. Матерятся на то, что их достаёт запросами пароля гном-кейринг при попытке установить софт или поправить системный конфиг. Можете называть их вантузятнегами, но это наши, линуксовые вантузятнеги :)

Xenesz ★★★★
()
Ответ на: комментарий от Xenesz

наши, линуксовые вантузятнеги

Не наши, это - бубунтофилы.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от anonymous

Но зачем ты пишешь откровенные глупости? Твой «вирус» — это не вирус.

Ну какие глупости???? Ну йоптыж!!!! Ну почитай ты еще раз: я где-то разве написал, что супер-илитным ЛОРовцам грозит этот вирус? Я написал, что с распространением Линукса таких «вирусов» будет мильйон и не смотря на всю изначальную защищенность Линукса НИКТО не остановит домохозяйку ввести рута. Понимаешь? Т.е. для тебя это не вирус, а вот для хомяков - очень даже вирус.

Trojan_Winlock
() автор топика
Ответ на: комментарий от Andru

I don't have a JAVA. Shit!

Same shit here, bro :( Нас тупо кинули! Блииин

Xenesz ★★★★
()
Ответ на: комментарий от r

Почему-то у меня друзья просто ставят себе любой комбайн из серии «Интернет Секьюрити» и не работают под админом - системы чистые.

А как они его ставят если админских прав нет?:)

Слушай, ну не слоупоч же :) Ну как это нет админских прав у владельца собственного ПК? И да, у них у всех Виста/7, так что работа с учеткой очень удобная, в отличие от ХР.

Что Они Нетак Делают?

Они не обращают внимание что когда они вставляют в свой комп флешку - у них на ней тут же появляется файл автостарт.

В 7-ке это уже отключили, а в Висте у многих стоит Авира - она сама блокирует автостарт, о чем вежливо сообщает: «Простите, что не увидели няшные значочки, я их заблокировала. Извольте дедовским способом зайти на флешку через „Мой компутер“.

Да и вообще, знакомые - люди чистоплотные, я не видел, что бы совали чужие флешки.

Trojan_Winlock
() автор топика
Ответ на: комментарий от r

В чем выражается загрязнение системы?

В негигиеничности настроек - как пример работа под админом потому что не под админом половина софта включая микрософтовский просто не пашет. Пример я приводил - установить софт с самбы рунэсом - нельзя.

Читай выше - у них Виста/7, т.е. работа с права админа очень удобная, как в Линуксе.

А про «самбы с рунесом» они и не знают что это такое. Извини, они гумманитарии, это им не нужно :)

Trojan_Winlock
() автор топика
Ответ на: комментарий от fffgh

Нормальному сайту не нужны ни флеш, ни жава-скрипт,

Интернет не ограничивается одним ЛОРом. А то что щас стали переходит на хтмл5, так это долгий процесс.

Trojan_Winlock
() автор топика
Ответ на: комментарий от fffgh

Нет. Человек будет знать, что тыкать он может куда угодно, но любые предложения что-то установить он должен отклонять.

И тогда он не увидит желанный контент. Понятно, что если плагины правильные уже установлены, то контент будет виден, но мы говорим о зараженной ссылке. Чувак же на говно изойдет, но таки в итоге введет рута: «А вдруг чего-то таки в системе не хватает? Нельзя тыкать на незнакомое, но мне ж ни кто-нибудь, а друг Вася прислал надежную ссылку!».

Trojan_Winlock
() автор топика
Ответ на: комментарий от ExpertOff

хрень полная. во первых надо ссылки смотреть, во вторых не сидеть где попало с друзьями которые кто попало, школоту и 12 летних девочек во френдах держать не хорошо... а кого еще кроме них смогут взломать? Да и вообще, NoScript и AdBlock

Согласись, что тут может стоять подпись:

Гордый пользователь Винды/Линукса.

Trojan_Winlock
() автор топика
Ответ на: комментарий от fffgh

Если ты «грамотный», то сразу понимаешь, что ссылка на неведомую фигню никакого отношения к знакомому не имеет. А если безграмотный - ты просто не будешь знать, как это запустить.

Ключевое слово: «если грамотный». Значит, если безграомтный, то защищенный Линукс виру не помеха.

Trojan_Winlock
() автор топика
Ответ на: комментарий от fffgh

А у них все отключено. Джавы нету, Флеша нету... У них батхерт, потому что подруга прислала ролик или ссылку на игру, а она не открывается. Помаявшись пару раз они с удовольствием...

...начинают работать, учиться или что там им положено. А не кормить нарисованых свиней во всевозможных вконтактах.

Оооооо.... Да ты не работаешь в обычном офисе, как видно :) Иначе знал бы, что в стремлении покормить нарисованных хрюшек секретаршу не остановят даже супер-настройки фаера и запрещалок :) Благо статей «Как разблокировать контактик» полно :)

Trojan_Winlock
() автор топика
Ответ на: комментарий от fffgh

А потому он совсем не удивится, если браузер предложит ему установить недостающий компонент.

Удивится. И откажется. Более того, правильный браузер вообще не должен такого предлагать.

Подожди, ты ведь не удивляешься, что после установки Убунты и первом открытии Фаерфокса при заходе на Ютьюб он предлагает тебе установить флеш-плеер? ;)

Trojan_Winlock
() автор топика
Ответ на: комментарий от anonymous

Почему в тексте новости нет ссылки «Скачать»? Анонимус негодуэ.

Анонимус, извини, но это запрещено УК. Если так хочешь, свяжись с чуваками из новости - они помогут ;)

Trojan_Winlock
() автор топика
Ответ на: комментарий от anonizmus

хомячек

Пора заводить сайт для «чек-чок», как для «тся-ться», однако.

Xenesz ★★★★
()
Ответ на: youtube не нужен, java не нужна от anonymous

youtube не нужен, java не нужна

комментарии не читал.

осуждаю.

Ютуб смотрю и осуждаю, осуждаю и смотрю... Вот только кроме Trojan_Winlock никто не пытается джаваскриптом или флэшем запускать джава-апплеты. К чему бы это?

Xenesz ★★★★
()
Ответ на: комментарий от Dimson

VBox и ОО установлены, явы нету, ЧЯДНТ?

Поставь уже православную убунту. На всякий случай не отключай «мягкие» зависимости, и будет тебе счастье.

Xenesz ★★★★
()
Ответ на: комментарий от paran0id

>А однострочник на перле не пробовал запускать из-под рута? Поищи на лоре - знатный был тред, былинный.

Как он запустит-то? У него ведь домашняя базовая.

Мы чо не люди? Мы чо не поможем ли чо ли?

Xenesz ★★★★
()
Ответ на: комментарий от Trojan_Winlock

> Если вдруг такая необходимость резко возникнет, то у хомячков-линуксоидов просто не будет этих средств. Я говорю об удобных средствах, а не о ковырянии в консоли и разбирании команд, например, в iptables.

Если необходимость вдруг возникнет, то в очередном выпуске ubuntu всем приложениям урежут права так, чтобы никакое вирьё уже не могло работать.

Ubuntu выходит два раза в год. Так что вирусная эпидемия если и будет, то один раз и ненадолго.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

> Браузер заранее не знает, но он должен быть готов «во всё оружие» открыть любой сайт с любым контентом, на который ты зайдешь.

Нет, не должен. Мой браузер не должен запускать всякое вирьё. Поэтому «любой контент» мне не нужен.

Если нужен кому-то другому - его дело. Но о каких вирусах вообще может идти речь при таких требованиях? Надо заражать систему - вот и заражает.

fffgh ★★
()
Ответ на: комментарий от Eddy_Em

>>правильный браузер вообще не должен такого предлагать.

Значит, огнелис - неправильный браузер.

Угу. Но, думаю, это отключается.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

> Я написал, что с распространением Линукса таких «вирусов» будет мильйон и не смотря на всю изначальную защищенность Линукса НИКТО не остановит домохозяйку ввести рута.

Остановит, остановит. Настройщик отключит возможность такого запроса - и всё.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

>> Нормальному сайту не нужны ни флеш, ни жава-скрипт,

Интернет не ограничивается одним ЛОРом.

Нет, не ограничивается. Кроме него есть много нормальных сайтов. И несколько ненормальных, которые посещаю.

Хожу-хожу, а необходимости в установке трояна всё нет и нет. Беда.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

>И тогда он не увидит желанный контент.

И ничего не потеряет - там же вирьё.

Нельзя тыкать на незнакомое, но мне ж ни кто-нибудь, а друг Вася прислал надежную ссылку!

Нет. Либо человеку объясняют, что такие запросы делают только вирусы (и он радостно жмёт «нет»), либо вообще ничего не объясняют и совсем отключают возможность навредить себе.

Остальные подходы - неправильные.

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

>> Если ты «грамотный», то сразу понимаешь, что ссылка на неведомую фигню никакого отношения к знакомому не имеет. А если безграмотный - ты просто не будешь знать, как это запустить.

Ключевое слово: «если грамотный». Значит, если безграомтный, то защищенный Линукс виру не помеха.

После ключевого слова «грамотный» есть ещё ключевое слово «безграмотный», ты заметил? После ключевого слова «безграмотный» есть описание того, как безграмотность помешает распространению вируса, ты заметил?

Если заметил, то каким образом у тебя получилось, что «защищенный Линукс виру не помеха»?

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

> в стремлении покормить нарисованных хрюшек секретаршу не остановят даже супер-настройки фаера и запрещалок :)

Если говорить всерьёз, то ежу понятно, что остановят. Как бы ни рвались.

Благо статей «Как разблокировать контактик» полно :)

А рядом с ними есть статьи «как поломать линупс за 3 минуты»?

fffgh ★★
()
Ответ на: комментарий от Trojan_Winlock

>Подожди, ты ведь не удивляешься, что после установки Убунты и первом открытии Фаерфокса при заходе на Ютьюб он предлагает тебе установить флеш-плеер? ;)

Не удивляюсь, потому что этого не происходит.

fffgh ★★
()
Ответ на: комментарий от Eddy_Em

> Есть, флешблок называется, только эта зараза вместе с noscript не работает...

Почему не работает? Работает.

fffgh ★★
()
Ответ на: комментарий от fffgh

Флешблоку для работы надо, чтобы скрипты не были запрещены. Или у меня какой-то неправильный флешблок.

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Trojan_Winlock

Если вдруг такая необходимость резко возникнет, то у хомячков-линуксоидов просто не будет этих средств. Я говорю об удобных средствах, а не о ковырянии в консоли и разбирании команд, например, в iptables.

Уже есть. Смотри про Qubes выше.

anonymous
()
Ответ на: комментарий от Eddy_Em

>Флешблоку для работы надо, чтобы скрипты не были запрещены.

noscript где-то может и разрешить скрипты - я про это.

fffgh ★★
()
Ответ на: комментарий от fffgh

Так ведь по умолчанию-то скрипты везде запрещены. Вот и выходит, что заблокировать одну дрянь ты можешь, лишь разблокировав другую дрянь...

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Enot52

В Windows 7 и Vista дается возможность ввести пароль и включается UAC. Создать учетную запись обычного пользователя — пару кликов.

Будучи действующим студентом-заочником, наблюдал одну картину. Есть у меня одногруппник, фанат винды. Так он мне пел что UAC крут настолько, что антивирь не нужен. На следующей сессии я его спросил, как его семёрка живёт. Он сказал что поставил авиру, ибо UAC неимоверно достаёт своими окошками. Да и сам я помню, как бета висты задрала вопросами, можно ли открывать архивы архиватором. Причём ассоциации файлов чётко говорили что можно. Так что UAC — редкостное говнище. Оно не избавляет от необходимости запрета автозапуска. И тем более будет отключаться грамотными админами, чтобы беречь нервы пользователей, ибо запреты нужны более веские, чем вопросы UAC’а.

И не надо петь мне что создание пользователя — дело простое. Оно и в винде, и в лине простое. Только вот в лине администратора создавать сложнее. А вот в XP (как в более поздних — не знаю, не делал), невозможно с помощью панели управления лишить всех пользователей прав администратора. Это можно сделать только через ПКМ на моём компьютере -> управление. Не все найдут это. Так что тезис о том, что винда засрана изначально снова подтверждён.

В Windows 7 (возможно и в Vista) привычного автозапуска нет — пользователь сам выбирает действие после вставки диска или флешки. И вообще,почему сравнивается устаревший XP и новый Alt Linux?

В XP это тоже есть. Спрашивает что с флешкой делать. И автораны всё равно работают.

Да и к чему сей высер? Я же не поддержку оборудования искаропки сравниваю, а защиту системы. Она и в 4-м Альте неплохая была. Все те же плюсы смело пиши ему. За более ранние версии не буду говорить: не пользовался.

Сравнивается XP с последним Altlinux’ом, потому что потребляют ресурсов одинаково. Win7 отправляет на помойку половину железа в школе, хотя хрюша на нём работает.

Тот Самый Анонимус.

anonymous
()
Ответ на: комментарий от megabaks

Спасибо, я и не знал, что в css так можно. Теперь есть стимул изучить css глубже. По теме: мне «червь» сей запустить не получится, так как нет Java, да и OpenJDK не установлен. Жаль, хотелось потестировать, но качать из-за этого ещё 23 мегабайта лень.

lucif0rm
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.