10.12.2009 12:05
В каталоге GNOME-Look зафиксировано наличие вредоносного ПО
|
 |
|
В deb-пакете с хранителем экрана waterfall, распространяемом через известный каталог GNOME-приложений GNOME-Look, зафиксировано наличие скрытой вредоносной вставки. После установки данного пакета в систему интегрируется специальный набор скриптов, предназначенный для подключения машины к проведению DDoS атак. Скрипт поддерживает удаленное получение заданий и способен самостоятельно обновить себя до более новой версии. Логика работы вредоносного ПО сводится к периодической загрузке и обычного shell скрипта, который затем запускается с правами root и выполняет, например, "ping -s 65507 хост".
Кроме того, подобный вредоносный код удалось обнаружить и в пакете с визуальной темой Ninja Black. Пользователям рекомендуется избегать установки сторонних пакетов, даже если они распространяются через известные ресурсы и по описанию содержат только мультимедиа данные.
При установке троянского пакета в системе появляются файлы /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh и index.php. Для излечения достаточно найти и удалить эти файлы, а также удалить пакет app5552 (sudo dpkg -r app5552).
|
|
|
- Главная ссылка к новости (http://www.omgubuntu.co.uk/2009/12/malwa...)
|
| Тип: Интересно / Проблемы безопасности |
| Ключевые слова: linux, security, (найти похожие документы) |
| При перепечатке указание ссылки на opennet.ru обязательно |
| Реклама |
|
|
|
| |
| 1.5, Василий, 12:53, 10/12/2009 [ответить] [смотреть все]
| +13 +/– |
Опеннет как всегда рулит, потерли неугодные каменты и все ОК. Все боле подход на мелкософт походить начинает.
|  | | |
| 1.8, anonymous, 13:05, 10/12/2009 [ответить] [смотреть все]
| +3 +/– |
Скоро будет "Пакет foo хочет добавить скрипт bar в /etc/profile.d, разрешить данное действие? [Да] [Нет] [Просмотреть скрипт]" :)
| | | |
| 1.9, Аноним, 13:05, 10/12/2009 [ответить] [смотреть все]
| +9 +/– | |
хехе, а сколько не нашли? ведь ubuntu юзвери ставят всё подряд и запускают всё что напишут, даже с приставкой sudo.
Вот вот подтянутся крупные производители антивирусного ПО, а за ними и более серьезные вирусы, более громкие заявления, пиар и всётакое.
Мдя, самая большая уязвимость в любой OS, это её пользователь.
| | | |
| 1.26, Шурек Табуреткин, 14:13, 10/12/2009 [ответить] [смотреть все]
| +2 +/– |
>- А как в этот пакет мог попасть этот вредный скрипт?
>- внезапно.
Рыдаю :))) пять баллов. Какой вопрос - такой ответ.
Да-да. Именно неспроста все это :))
| | | |
| 1.43, Oakim, 15:37, 10/12/2009 [ответить] [смотреть все]
| +2 +/– | |
Зафиксировали наличие - объявили о проблеме - показали пути спасения, это лучше, чем "не признались - забили - втихую поправили - не признались"... Надо бы еще разобраться откуда это в код попало и принять меры.
ЗЫ Вирус действующий под личиной программы - это плохо, но еще хуже, когда программа действует как вирус (DDOSит, сливает инфу налево и направо, блокирует данные)
| | | |
| 1.49, аноним, 16:00, 10/12/2009 [ответить] [смотреть все]
| +3 +/– | |
Ой да ладно, с маком, говорят, тоже похожая штука была: на порносайтах всплывало сообщение а-ля: "для просмотра видео загрузите недостающие кодеки; для загрузки кодеков введите пароль рута" :-), так что не линукс первый, что называется...
ИМХО, но проблема скорее не в том, что вдруг откуда не возьмись появился "вирус" (точнее то-то там нехорошее), а в том, что это появилось вроде как на "солидном сайте" (где априори всё должно быть "красиво"). Если бы в deb пакете с сайта gnoome-lok.home.ec.org содержалась бяка, то, думаю, особого удивления это не должно было бы вызывать.
А про то, что "пользователи убунты ставят всё без остановки" скажу, что всё зависит не от убунты, а от человека.
|  | | |
| 1.52, Дмитрий, 16:15, 10/12/2009 [ответить] [смотреть все]
| –1 +/– |
Что тут обсуждать то? ведь просто разрешили положить пакет непроверенному мантейнеру. В репозиторий такое вряд-ли кто сможет протолкнуть.
И насчёт постоянной жизнедеятельности такого типа вируса вопрос спорный.
Наверняка большинство юзеров в Линукс хоть разок в день запускают $ ps , чтоб посмотреть чего там может лишнего. Про админов вообще молчу. Такие трояны скорее всего будут плясать на ХХХ-бунту. Где большинство действительно только пришло из Виндов и основ не знает, да и наслушались, что вирусов под Линукс не бывает.
Я могу задуматься, если б попросили и приплатили из одной известной корпорации, то таких вирусов можно было по быстрому соорудить с 100.000.000 и заполонить ими несколько дырок, где любят пошляться недавние виндозники. И думаю не только мне такая простая мысль в голову приходит, но и некоторым менеджерам в корпорации.
| | | |
| 1.61, Vikarti Anatra, 18:02, 10/12/2009 [ответить] [смотреть все]
| +/– |
И всетаки - первый вирус под линукс в диком виде.
Вот как с этим _правильно_ бороться?Учитывая что с идиотами-юзерами - бороться сложно(да и вообще - ну не все хотят быть админами все-же. Юзер имеет право вообще не знать про $ ps - и при этом хотеть ставить гламурненькие темы, скринсейверы,etc)?
Решение - обязательная подпись всего кода?(с ручкой отключения - упрятанной глубоко)-так не поможет - появится просто мануал в стиле "как отключить UAC^H^H^HCode Verification...).
|  | | |
| 1.66, lincz, 18:35, 10/12/2009 [ответить] [смотреть все]
| –1 +/– |
Кошмар будет если в код на sourceforge, freshmeat и т.п. кто-нить стороний скрипт добавит. Исходники оттуда собираются пользователями без предварительного просмотра. А проектов там видимо-невидимо.
| | | |
| 1.70, haldei, 18:51, 10/12/2009 [ответить] [смотреть все]
| +/– |
Помню на каком-то форуме, вроде на ЛОРе, один человек выложил регулярное выражение с просьбой помочь его отладить, само регулярное выражение представляло собой нечто длинное и трудное для понимания, но итогом его выполнения было удаление корня. Разумеется сотни человек выполняли его из под рута, даже не пытаясь понять что оно делает...
| | | |
| 1.81, tremor, 20:41, 10/12/2009 [ответить] [смотреть все]
| –2 +/– | |
это довольно эпическая тема. редко вижу что на полном серьезе винду сравнивали с линуксом. теперь линукс можно на 1 полку с виндой ставить начинать.
та аброкадабра на ЛОРе - перловая строка. пользователь сам ее должен выполнять. сам же и виноват будет. это не в счет.
|  | | |
|
|
| Ваш комментарий |
|
|
| |
|
