В AUR-репозитории Arch Linux найдено вредоносное ПО

-_o
Читать до конца. )
Зачем? Прямо в ОП посте написано:
Edit3 : false positive! Clamav is a bit paranoiac apparently
Дело было вечером, делать было нечего … и решил от скуки посмотреть этот код
31ed4989d15e4889e24883e4f050544c8d055a050000488d0de3040000488d3d
Этот кусок кода близко похож на кусок шелкода но, имхо, выполнить он ничего не может и теоретически так конструкцию не пишут.
Удалил несколько инвалидных байт в конце и нулевые байты, в итоге получил вот такой код
xor ebp, ebp
dec ecx
mov ecx, edx
pop esi
dec eax
mov edx, esp
dec eax
and esp, 0xfffffff0
push eax
push esp
dec esp
Скомпилировал и запусил - в итоге, как и ожидалось, конечно, ничего не запустилось
Ошибка сегментирования (стек памяти сброшен на диск)
Вывод - не используйте Clamav ……. как и другие антивирусы в Linux ...... и ничего не бойтесь
Ошибки не исчезают с опытом - они просто умнеют
vasek, в этом фрагменте, во-первых, нет начальной загрузки используемых регистров. Во-вторых, по команде ret в PC будет то, что занесено в стек (push esp), так что хз куда будет осуществлен переход.
А вообще, такой код в ассемблере (по крайней мере в таком виде) ни к чему кроме ошибки не приведет.

vasek
Удалил несколько инвалидных байт
Если только это не недокументированные инструкции.
Кстати, это может быть частью крипта, который дешифрует основное тело вируса. Так что как знать... )
Привожу пример одного похожего shellcod (командная оболочка sh) -
4831d25248b82f62696e2f2f7368504889e752574889e64831c0b03b0f05
вот так он выглядит
dec eax
xor edx, edx
push edx
dec eax
mov eax, 0x6e69622f
das
das
jae 0x76
push eax
dec eax
mov edi, esp
push edx
push edi
dec eax
mov esi, esp
dec eax
xor eax, eax
mov al, 0x3b
syscall
Компилируем, запускаем и … попадаем в sh - пробуем запустить команду free -m
~/Документы/VIRUS/asm/shellcode_test
sh-4.4$ free -m
              total        used        free      shared  buff/cache   available
Mem:           5897         912        4157          89         827        4935
Swap:          4996           0        4996
sh-4.4$ exit
exit

EDIT 1 - молодежь, скомпилировать не пытайтесь, ничего не получится - есть свои тонкости. А, главное, само по себе это ничего не дает - основная проблема, это внедрение. Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно.
Ошибки не исчезают с опытом - они просто умнеют
vasek
Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно.
Да и не может машинный код в двадцать байт быть самостоятельной программой. Два килобайта - да, но если оно еще хочет самосохраняться, размножаться, скрываться - тут не обойтись без системного программирования... В общем не все так просто.
Однако вирус под линь вполне реален, особенно учитывая рост популярности этой системы. Так что я бы особо не расслаблялся.
Aivar
Однако вирус под линь вполне реален,
Теоретически да, но пока что все эти примеры с обнаружением чего-то подозрительного в файлах совершенно не впечатляют. Пока вирус не обнаружен в памяти - говорить не о чем. Да и неплохо бы конкретно увидеть, что плохого реально делается (типа убиваются файлы, отсылаются куда-то пароли и т.п.), а не выкрикиывать ритуальные слова и бить в рельс, увидев сомнительную сигнатуру .в каком-то файле.
Aivar
особенно учитывая рост популярности этой системы
А что, этот самый рост имеет место?
Я не думаю, что в обозримом будущем возможно появление даже единиц, не то что тысяч, линуксных вирусов. Причин куча:
  • десктопый линукс используется на ничтожном проценте машин в мире;
  • никакого "линукса вообще" нет в природе, линуксы слишком разные; в частности, используют весьма разные механизмы инициализации системы и DE;
  • линукс обычно весьма интенсивно обновляется, причём за, скажем, пару месяцев, обновятся практически все файлы. Так что слаборазмножающийся вирус или неразмножающийся троян будет вынесен из системы без всяких антивирусов;
  • готовых вирусных библиотек нет; образцов, с которых можно драть код, нет; всё надо писать с нуля;
В общем, получается, что написать вирус очень трудно, а толку очень мало. Никто и пытаться не будет.
akorop
Никто и пытаться не будет.
Вам просто могут прописать в пакбильде скачку майнера и его запуск по таймеру или шифровку порчу домашнего каталога.
vs220
Вам просто могут прописать в пакбильде скачку майнера
А при чём тут вирусы и антивирусы?
И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих. Тоже, кстати, разновидность психовируса - вот он реально опасен, и надо не давать ему внедриться в свои мозги :)
akorop
vs220
Вам просто могут прописать в пакбильде скачку майнера
А при чём тут вирусы и антивирусы?
И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих.
Тема все же про зловредов в ауре. И я к тому что расслабляться не стоит -подмена пакбилда позволяет простейшими методами внедрить зловреда или навредить системе
 
Зарегистрироваться или войдите чтобы оставить сообщение.