В AUR-репозитории Arch Linux найдено вредоносное ПО

gentux	# 6 лет, 4 месяца назад
Темы: 3 Сообщения: 119 Участник с: 15 января 2015	-_o Читать до конца. ) Зачем? Прямо в ОП посте написано: Edit3 : false positive! Clamav is a bit paranoiac apparently

gentux

# 6 лет, 4 месяца назад

Темы: 3

Сообщения: 119

Участник с: 15 января 2015

-_o
Читать до конца. )

Зачем? Прямо в ОП посте написано:

Edit3 : false positive! Clamav is a bit paranoiac apparently

vasek	# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	Дело было вечером, делать было нечего … и решил от скуки посмотреть этот код `31ed4989d15e4889e24883e4f050544c8d055a050000488d0de3040000488d3d` Этот кусок кода близко похож на кусок шелкода но, имхо, выполнить он ничего не может и теоретически так конструкцию не пишут. Удалил несколько инвалидных байт в конце и нулевые байты, в итоге получил вот такой код `xor ebp, ebp dec ecx mov ecx, edx pop esi dec eax mov edx, esp dec eax and esp, 0xfffffff0 push eax push esp dec esp` Скомпилировал и запусил - в итоге, как и ожидалось, конечно, ничего не запустилось `Ошибка сегментирования (стек памяти сброшен на диск)` Вывод - не используйте Clamav ……. как и другие антивирусы в Linux ...... и ничего не бойтесь Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

Дело было вечером, делать было нечего … и решил от скуки посмотреть этот код

31ed4989d15e4889e24883e4f050544c8d055a050000488d0de3040000488d3d

Этот кусок кода близко похож на кусок шелкода но, имхо, выполнить он ничего не может и теоретически так конструкцию не пишут.
Удалил несколько инвалидных байт в конце и нулевые байты, в итоге получил вот такой код

xor ebp, ebp
dec ecx
mov ecx, edx
pop esi
dec eax
mov edx, esp
dec eax
and esp, 0xfffffff0
push eax
push esp
dec esp

Скомпилировал и запусил - в итоге, как и ожидалось, конечно, ничего не запустилось

Ошибка сегментирования (стек памяти сброшен на диск)

Вывод - не используйте Clamav ……. как и другие антивирусы в Linux ...... и ничего не бойтесь

Ошибки не исчезают с опытом - они просто умнеют

Aivar	# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	vasek, в этом фрагменте, во-первых, нет начальной загрузки используемых регистров. Во-вторых, по команде ret в PC будет то, что занесено в стек (push esp), так что хз куда будет осуществлен переход. А вообще, такой код в ассемблере (по крайней мере в таком виде) ни к чему кроме ошибки не приведет. vasek Удалил несколько инвалидных байт Если только это не недокументированные инструкции.

Aivar

# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)

Темы: 4

Сообщения: 6897

Участник с: 17 февраля 2011

vasek, в этом фрагменте, во-первых, нет начальной загрузки используемых регистров. Во-вторых, по команде ret в PC будет то, что занесено в стек (push esp), так что хз куда будет осуществлен переход.
А вообще, такой код в ассемблере (по крайней мере в таком виде) ни к чему кроме ошибки не приведет.

vasek
Удалил несколько инвалидных байт

Если только это не недокументированные инструкции.

Aivar	# 6 лет, 4 месяца назад
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	Кстати, это может быть частью крипта, который дешифрует основное тело вируса. Так что как знать... )

vasek	# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)
Темы: 47 Сообщения: 11853 Участник с: 17 февраля 2013	Привожу пример одного похожего shellcod (командная оболочка sh) - `4831d25248b82f62696e2f2f7368504889e752574889e64831c0b03b0f05` вот так он выглядит `dec eax xor edx, edx push edx dec eax mov eax, 0x6e69622f das das jae 0x76 push eax dec eax mov edi, esp push edx push edi dec eax mov esi, esp dec eax xor eax, eax mov al, 0x3b syscall` Компилируем, запускаем и … попадаем в sh - пробуем запустить команду free -m ~/Документы/VIRUS/asm/shellcode_test `sh-4.4$ free -m total used free shared buff/cache available Mem: 5897 912 4157 89 827 4935 Swap: 4996 0 4996 sh-4.4$ exit exit` EDIT 1 - молодежь, скомпилировать не пытайтесь, ничего не получится - есть свои тонкости. А, главное, само по себе это ничего не дает - основная проблема, это внедрение. Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)

Темы: 47

Сообщения: 11853

Участник с: 17 февраля 2013

Привожу пример одного похожего shellcod (командная оболочка sh) -

4831d25248b82f62696e2f2f7368504889e752574889e64831c0b03b0f05

вот так он выглядит

dec eax
xor edx, edx
push edx
dec eax
mov eax, 0x6e69622f
das
das
jae 0x76
push eax
dec eax
mov edi, esp
push edx
push edi
dec eax
mov esi, esp
dec eax
xor eax, eax
mov al, 0x3b
syscall

Компилируем, запускаем и … попадаем в sh - пробуем запустить команду free -m
~/Документы/VIRUS/asm/shellcode_test

sh-4.4$ free -m
              total        used        free      shared  buff/cache   available
Mem:           5897         912        4157          89         827        4935
Swap:          4996           0        4996
sh-4.4$ exit
exit

EDIT 1 - молодежь, скомпилировать не пытайтесь, ничего не получится - есть свои тонкости. А, главное, само по себе это ничего не дает - основная проблема, это внедрение. Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно.

Ошибки не исчезают с опытом - они просто умнеют

Aivar	# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	vasek Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно. Да и не может машинный код в двадцать байт быть самостоятельной программой. Два килобайта - да, но если оно еще хочет самосохраняться, размножаться, скрываться - тут не обойтись без системного программирования... В общем не все так просто. Однако вирус под линь вполне реален, особенно учитывая рост популярности этой системы. Так что я бы особо не расслаблялся.

Aivar

# 6 лет, 4 месяца назад (отредактировано 6 лет, 4 месяца назад)

Темы: 4

Сообщения: 6897

Участник с: 17 февраля 2011

vasek
Привел для того, чтобы показать, что иметь/хранить такой код в системе совершенно безопасно.

Да и не может машинный код в двадцать байт быть самостоятельной программой. Два килобайта - да, но если оно еще хочет самосохраняться, размножаться, скрываться - тут не обойтись без системного программирования... В общем не все так просто.
Однако вирус под линь вполне реален, особенно учитывая рост популярности этой системы. Так что я бы особо не расслаблялся.

akorop	# 6 лет, 4 месяца назад
Темы: 111 Сообщения: 1756 Участник с: 29 февраля 2012	Aivar Однако вирус под линь вполне реален, Теоретически да, но пока что все эти примеры с обнаружением чего-то подозрительного в файлах совершенно не впечатляют. Пока вирус не обнаружен в памяти - говорить не о чем. Да и неплохо бы конкретно увидеть, что плохого реально делается (типа убиваются файлы, отсылаются куда-то пароли и т.п.), а не выкрикиывать ритуальные слова и бить в рельс, увидев сомнительную сигнатуру .в каком-то файле. Aivar особенно учитывая рост популярности этой системы А что, этот самый рост имеет место? Я не думаю, что в обозримом будущем возможно появление даже единиц, не то что тысяч, линуксных вирусов. Причин куча: десктопый линукс используется на ничтожном проценте машин в мире; никакого "линукса вообще" нет в природе, линуксы слишком разные; в частности, используют весьма разные механизмы инициализации системы и DE; линукс обычно весьма интенсивно обновляется, причём за, скажем, пару месяцев, обновятся практически все файлы. Так что слаборазмножающийся вирус или неразмножающийся троян будет вынесен из системы без всяких антивирусов; готовых вирусных библиотек нет; образцов, с которых можно драть код, нет; всё надо писать с нуля; В общем, получается, что написать вирус очень трудно, а толку очень мало. Никто и пытаться не будет.

akorop

# 6 лет, 4 месяца назад

Темы: 111

Сообщения: 1756

Участник с: 29 февраля 2012

Aivar
Однако вирус под линь вполне реален,

Теоретически да, но пока что все эти примеры с обнаружением чего-то подозрительного в файлах совершенно не впечатляют. Пока вирус не обнаружен в памяти - говорить не о чем. Да и неплохо бы конкретно увидеть, что плохого реально делается (типа убиваются файлы, отсылаются куда-то пароли и т.п.), а не выкрикиывать ритуальные слова и бить в рельс, увидев сомнительную сигнатуру .в каком-то файле.

Aivar
особенно учитывая рост популярности этой системы

А что, этот самый рост имеет место?
Я не думаю, что в обозримом будущем возможно появление даже единиц, не то что тысяч, линуксных вирусов. Причин куча:

десктопый линукс используется на ничтожном проценте машин в мире;
никакого "линукса вообще" нет в природе, линуксы слишком разные; в частности, используют весьма разные механизмы инициализации системы и DE;
линукс обычно весьма интенсивно обновляется, причём за, скажем, пару месяцев, обновятся практически все файлы. Так что слаборазмножающийся вирус или неразмножающийся троян будет вынесен из системы без всяких антивирусов;
готовых вирусных библиотек нет; образцов, с которых можно драть код, нет; всё надо писать с нуля;

В общем, получается, что написать вирус очень трудно, а толку очень мало. Никто и пытаться не будет.

vs220	# 6 лет, 4 месяца назад
Темы: 25 Сообщения: 8524 Участник с: 16 августа 2009	akorop Никто и пытаться не будет. Вам просто могут прописать в пакбильде скачку майнера и его запуск по таймеру или шифровку порчу домашнего каталога.

akorop	# 6 лет, 4 месяца назад
Темы: 111 Сообщения: 1756 Участник с: 29 февраля 2012	vs220 Вам просто могут прописать в пакбильде скачку майнера А при чём тут вирусы и антивирусы? И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих. Тоже, кстати, разновидность психовируса - вот он реально опасен, и надо не давать ему внедриться в свои мозги :)

akorop

# 6 лет, 4 месяца назад

Темы: 111

Сообщения: 1756

Участник с: 29 февраля 2012

vs220
Вам просто могут прописать в пакбильде скачку майнера

А при чём тут вирусы и антивирусы?
И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих. Тоже, кстати, разновидность психовируса - вот он реально опасен, и надо не давать ему внедриться в свои мозги :)

vs220	# 6 лет, 4 месяца назад
Темы: 25 Сообщения: 8524 Участник с: 16 августа 2009	akorop vs220 Вам просто могут прописать в пакбильде скачку майнера А при чём тут вирусы и антивирусы? И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих. Тема все же про зловредов в ауре. И я к тому что расслабляться не стоит -подмена пакбилда позволяет простейшими методами внедрить зловреда или навредить системе

vs220

# 6 лет, 4 месяца назад

Темы: 25

Сообщения: 8524

Участник с: 16 августа 2009

akorop
vs220
Вам просто могут прописать в пакбильде скачку майнера
А при чём тут вирусы и антивирусы?
И, кстати, вдумчивое чтение пакбильда ни чего не предохраняет - зловред может сидеть прямо в исходниках или в прикладываемых патчах. Вокруг вредоносного ПО есть масса ритуалов, реально ничего, кроме пустой траты времени, не дающих.

Тема все же про зловредов в ауре. И я к тому что расслабляться не стоит -подмена пакбилда позволяет простейшими методами внедрить зловреда или навредить системе