Вирусы в *nix системах

+1488

Тогда да тогда логично снести ... нафига она мне ... Пусть форточники сами ловят свои вирусы !

Lans вирусы под *никс?у них же не хватает прав рут

Если выполнять эти правила то все будет норм:

Не подключайте неподписанных репозиториев, не устанавливайте сомнительные программы, не запускайте непонятные скрипты и неизвестные команды, не используйте небезопасные пароли и методы авторизации, не давайте другим пользователям возможность работать с вашей учётной записью, вовремя устанавливайте обновления безопасности.

Ну короче всё как в винде

а везде по сути одно и то же

Случайно наткнулся на данный тред, в рифму которого лишь слово "бред".

Если не страдать троллефобией, то в треде видны мнения людей, которые или хотят поприкалываться, или же просто говорят только для того, чтобы сказать. Кто вам это сказал, уважаемый? Перестаньте нести бред. Аналогичный бред человека. Судя по прочитанному о вирусах знаний 0, собственно ровно столько же и о UNIX-like системах. См. выше, очередной бред. Тут мы видим человека, который немного продвинут в вопросе, однако настолько поверхностно, что на его месте лучше было бы не делать утверждений. Смею вас заверить, для линуксов есть достоточно разнообразные вирусы. Да, отчасти вы правы, сплоиты есть, куда же без них, только вот видения проблемы у вас нет; сплоиты пишутся под конкретный софт, и ядро в том числе. Однако массовый сплоит, если он не используется для взлома _конкретной_ машины сразу же находит свое место в теле вируса. Так было всегда и будет, и независимо от ОС, вспомните (если есть что вспомнить) пресловутый баг винды в DCOM, что стал причиной эпидемии LoveSan'а. Для никсов есть достаточно годные вирусы, уверяю. А насчет несостоятельности идеи, этот бред противоречит вашему же заявлению. Никто не мешает (а, по сути, это флагманская техника, наряду с подменой файлов) вирусному ПО использовать уязвимость (да, да, с помощью сплоита) для повышения привилегий. Конкретное ПО? Господи, вы слышали о сплоит-связках вообще и о рейтинге самых заражаемых утилит. Ну и конечно да, суперпользователь и рут по вашим словам - разные пользователи. Щикарно (с). Нет слов. Просто нет слов, книжку "Линукс для чайников" в руки. Да, конечно он вырубится сам, если рутовый процесс (терминал, или иной) был завершен. При закрытии он завершается, если только не станет зомби, но старый старый демон Инит не спит Блин, вот человек даже понятия не имеет ничего о вирусной сцене. Уважаемый, бинари и сорцы приватных вирусов даже под винду вы хрен где найдёте. Вы знаете хотя бы цены на подобный софт? Из вашего поста видно, что вы вообще не представляете, что они продаются. Найдите мне TDSS руткит под винду хотя бы в открытом доступе если все ваши вопросы решаются через гугл. Обыкновенный dDoS-бот под винду стоит от 350 енотов, цена за 0-day сплоит идёт в порядке *000 $ и выше, а вы тут "скачать". Да, школото-вирусы и безнадежно устаревшие, как дерьмо мамонта конечно можно скачать, но мы говорим о тех, что сейчас функционируют на ПК пользователей и, фактически не детектируются. Умный блоггер решил выехать за счет бренда. Не ново, более менее обоснованные опусы в сторону ЛК писал когда-то z0mbie, нынче это высосанная из пальца раздутая дурь. объяснения не засчитаны, я уже сказал выше. Если вы не в теме, то не надо утверждать, если в википедии ничего не знают о вирусах под никсы - это не значит, что их нет. Они прекрасно себе работают, не выдавая своего присутствия на ПК таких вот, думающих, что они защищены. Вы про ClamAV читали вообще, прежде чем заявлять что-то? а? Единственная полезная мысль в треде, наконец-то.

P.S. Я сильно связан с вирусной сценой и осведомлен с тем, какие дела там происходят, собственно будучи вирусным аналитиком мне это по долгу работы необходимо знать.

ngs бред не бред... это хорошо что вы вирусный аналитик, тогда расскажите лучше народу чем защищаться просто ради интереса. потому как мнений в интернете великое множество.

и потом, по поводу ссылок из гугла: просто демонстрация того что вирус под Linux поймать сложно, только по своей дури...

Эх... Вы точно в теме? Семпл tdl3(tdss) найти давно уже не проблема. Так же не проблема найти и коллекции вирусов, в которые входит в том числе и тот же tdss. И эта... я может чё пропустил, но на кой черт надо покупать вирусы? Или может это вы их по таким ценам продаете покупаете?

---

Добавлено спустя 51 минуту: В большинстве своем, вирусы для никсов - "лабораторные крысы", интересные только механизмом своей работы. Практической пользы от них слишком мало.

"лучше молчать и казаться дураком, чем открыть рот и развеять все сомнения" (с) не помню кто. Уважаемый, я в "теме", как вы выразились с 2001го года, а вот судя по вашему комментарию и вопросу вы явно плаваете поверхностно. Найти "старый" tdss нет проблемы, только если бы вы знали хотя бы механизм работы tdss, то таких вопросов бы не возникало. В паблике валяется много треша, треш этот и правда, иногда даже рабочий, но для серъезных вещей, увы, он не подходит. Группа, которая занималась tdss давно уже объявила об уходе со сцены и с её же подачи сорцы вылетели в сеть, да только вот через некоторое время появилась новая модификация, и даже если у вас есть сорец конкретного бинарника, то не будьте наивным - руткит, наподобие тдсс - это система, а не просто ехе-файл. Подобный рут/бут-кит я вам на коленке наваяю, с тем же функионалосм, ибо он известен, однако же поднять всю систему, хех... Тот же странный RDPBrute для дедиков найти можно в 1000 и одном месте в инете, только вот дерьмо он полное, однако в привате хотят "приватные", годные модификации, и стоят они уже денег. И в гугле вы их не найдёте. Ну а этим постом вы вообще подтвердили свою неграмотность. Извините, мы говорим не про идиотские вирусы, написанные хрен знает для чего, а про коммерческий продукт. Вирусная индустрия по денежным объемам не уступает кардерскому и порно сообществам, тем более, что всё связано между собой. Разводить полемику с человеком, по постам которого уровень оценивается как человека, прочитавшего пару журналов "хакер" я не буду. Однако некоторые вещи скажу. Повторю, я говорю не о вирусах, написанных для потешивания свобственной крутости и для слежения за девушкой. Чтобы не покупать вирусы и не продавать их необходимо быть монополистом системы. Какой системы? Очень просто, для поднятия денег нужны заказы, такого типа, как: спам, dDoS, socks и конечно же акки. Если откинуть акки из списка, поскольку тут мы можем работать целиком на себя (правда не долго ), то следующий этап - это обеспечение сервиса сокс, спама, ддос и т.д. Собственно нужен ботнет. Как поднять ботнет? Для ботнета нам необходим соответсвенно трафф и непосредственно боты. Откуда брать траф? Можно купить, а можно заняться самому. Как? Как правило установкой сплоит-связок. Как поставить связку? С помощью CJ и т.д. партнерок или же ломануть сайт. Откуда взять связку? Из паблика ( хы, вас устроит 0.5% пробива?), написать (ведь вы же гуру новый remote сплоит 0-day стоит я уже говорил порядка *000 $), купить из паблика - да, дерьмовый процент, но выше чем у просто выложенных и дешевле чем 0-day. Ок, всё есть, теперь нужен лодер + бот + система обновелиний + возможность подключения модулей + поддержка, ибо антивирусные компании не дремлют. Это полбеды, управлять ботнетом надо опять же. Как? по мылу, ирц, осеку и т.д. но чаще всего веб-форма. Зарегьтесь на masterhost, получите домен, начинайте рулить и через несколько часов получит хостер бан и абузу и вас прикроют и дело уйдёт в извесный отдел => нужен абузоустойчивый сервис - опять деньги. В одиночку всё это поднять нужны нехилые вливания, и практически нереально. Как правило - это модульно расделенные системы. Одни делают сплоиты и продают их, другие покупают и на этой основе делают траф и продают его, другие пишут ботов и поддерживают их, третьи покупают трафф, покупают бота, сажают на траф, платят тем и другим за поддержку, а сами принимают заказы на спам, ддос и т.д. Так что извольте не городить полную ахинею насчет на кой черт покупаются и продаются вирусы, паблик - лишь вершина айсберга. Если вы не в теме, то не спорьте. Я в этом деле отнюдь не дилетант, чтобы просто так вот утверждать то, что я утверждал в предыдущем посте и в этом. И, извините, я занимаемую должность свою уже озвучил, наверное имею представление. Ну и собственно нечего добавить, я уже сказал всё выше. Если вы просто не знаете о масштабах, то не надо утверждать. Благо дело у меня есть доступ к статистике и я моуг утверждать. Лабораторные крыса - это поделки дилетантов. Нормальные руткиты крутятся на кошках, а большинство кошек под никсами. То, что ориентированы они не на десктопные системы - не значит, что их нет. Вам уже сказали, самые нормальные на сегодняшний день аверы под никсы - ClamAV и Dr.Web.

---

Добавлено спустя 9 минут: Ну я привёл выше уже названия аверов. Однако я работаю не у вышеперечисленных, а поэтому их анализирование, сравнение и т.д. будет дурным тоном с моей стороны =(. Однако, они функционируют исправно. По поводу того, что сложно. Ну как сказать, да не так уж и сложно, тем более вот сейчас уже вспышка активности всвязи с багом во флешплеере, который может эксплуатироваться и на никсах тоже. Другое дело, что бОльший ориентир всё равно на вин-системах. А так всё так же как в винде, непроверенный репозиторий, непроверенный бинарник, левый "флешплеер" с порева =). Ту ведь не в системе дело, а в человеке. Правильно вы заметили, что внимательность - залог безопасности. Ни один авер не спасет от 0day +antievr виря, однако и без авера работать в сети можно, если проявлять просто банальную грамотность и не вестись на "Супер ХХХ БЕСПЛАТНОЕ порно анны семенович!"

Вообще линуксы становятся дружественнее к пользователю, и это делает их более массовыми, а следовательно - лакомым кусочком. А, как говорится была бы цель - а средства мы найдём Так что, вышесказанные антивирусы, + есть специальный софт для поиска руткитов ( на securitylab.ru (внешка) есть в разделе Софт), так, для разовой плановой проверки (в кронтаб кинуть и усё), ну и конечно свой разум и здравый смысл.

---

Добавлено спустя 13 минут:

Ах, да, ещё вдогону тов.vova-vipper: вот вам просто пример товаров, это так, на форуме на распродаже, это не моё, я не рекламирую, просто для ознакомление с ценами. И заметьте, это ещё с паблик форума, а не с закрытых вендорских и крутоп-клонов. и такого очень много, это простейший пример. И знаете? Разбирают махом, вот этот товарищ не один раз за месяц продает это, сколько получает он денег с этого - калькулятор в руки и считайте. Только вот за это сажают быстро. Мы постараемся :devil:

есть, но они с открытыми исходными кодами, что не может не радовать

---

Добавлено спустя 7 минут:

вообще, в никсах сложно случайно запустить вирус... это надо недюжию криворукость...

Перечитайте тред, перед тем, как такое заявлять. Собственно отписываться более уже бессмысленно. За сим я удаляюсь, а вам - знайте тему, перед тем, как что-то утверждать.

ну прочитал я твой бредовый пост. и? не вижу смысла в том, что ты описываешь.

Вирусы под *nix - это миф. Спите спокойно

Язвительно усмехающийся смайл в тему.

Однако, я использую кроме линукса и винду тоже. И ни разу за последнее время не словил ни единого вируса (на винде в качестве дополнительного контроля стоит каспер-лицензия - отдыхает где-то там в трее). Порнобаннеры, винлокеры и тп вижу только у беспечных знакомых. Но и в никсах на всякий использую то же самое, на всякий пожарный. Мало ли что))

В связи с простым фактом, что взлом никс-системы каждый раз является нетривиальной задачей (простое перемещение какого либо файла или пара символов в конфиге могут потребовать полного пересмотра стратегии атаки) вирусы под никсы пишутся для интереса больше, чем для практического использования. А вот трояны, бэкдоры и прочее "стационарное" барахло обязаны своим появлением именно никсам. Благо что для корректного внедрения на мало-мальски настроенную юзером под себя ОС требуется какое то количество человеко-часов, что экономически невыгодно. 3 ваши порнушные фотки никому нахрен не сперлись.

П.С. Первый вирус работал под никсами, тащемта. словил парочку за последнее время. Какие то неживучие попадались. Даже обидно за вирусописателей, такую лажу кропать.

т.е. вы хотите сказать что на том же kernelmode.info выкладывают старые семплы? при чем тут "механизм" я не совсем понял. Ну это смотря что подразумевать под серьезными вещами. Для создание собственного ботнета естественно не подойдет, но что мешает взять образец N-ого вируса, нужным образом изменить его, написать свой упаковщик и отправит по миру? Если не секрет, что за группа и когда ушли? Оччень интересно. Чем же вам не угодили публичные бруты? И что там такого есть в приватных брутах? Мы несколько о разном говорим, товарищ. Вирусы продают/покупают за кулисами vx, то бишь владельцы ботнетов покупают их у писателей, но это настолько узкий и закрытый бизнес, что его можно не рассматривать. Основной оборот индустрии идет от предложения услуг ддоса и спама (Гы, я смотрю вы нужи сами многое расписали). Короче, к чему я это всё... Придет дядя Вася с заказом на клиента, и он не будет покупать вирусы, потому что оно ему это нахрен не надо - он закажет, например тот же двухдневный досс. О каких масштабах вы говорите? Написание вирусов для никсов коммерчески не выгодно. Идея Вирусов в том виде в котором она работает на виндах несостоятельна в данный момент для никсов. Вирусы для массового(да впрочем любого) инфицирования никсов - лабораторные крысы. И если уж заказ на *никс и поступает, то работа ведется в индивидуальном порядке, вплоть до написания собственного сплоита, шела и бекдора. О масштабности говорить не приходится.

З.Ы. То, что я последний раз читал Хакер более года назад спасет меня как-нибудь в ваших глазах? Вашей проницательности позавидовала бы даже Ванга

---

Добавлено спустя 9 минут: На что ж вы потом кормиться то будете?

Да есть 2 вируса по никсы, один запаришься ставить, второй не работает

ой мля ссусь в штаны изза того что вирусы нашел Ваш Каспарыч..... почитал я статью...Каспер сам идиот и даунито хромоносов....не его надо благодарить за то что он антивирус написал.....а другова чела с ним работающего......другой чел нормальный,а этот...он панику только может разносить,чтоб линукс-пользователи кирпичами гадили...... а сам его антивир может только грузить системы по полной..... у меня нет вирусов и не будет,хоть и проверяю сторонними средствами защиты