The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.01.2014 23:54  Выявлено вредоносное ПО на Java, поражающее Windows, OS X и Linux

Лаборатория Касперского выявила вредоносное ПО, написанное на языке Java и поражающее системы с Windows, OS X и Linux. Для проникновения в систему используется уязвимость в Java-плагине (CVE-2013-2465), присутствующая в Java SE 7 Update 21 и Java SE 6 Update 45 и более ранних версиях, но устранённая ещё летом прошлого года. В случае успешного внедрения в систему, вредоносное ПО начинает принимать управляющие команды через подключение к IRC-серверу и может участвовать в проведении DDoS-атак (поддерживается HTTP- и UDP-флуд).

Примечательно, что после успешной эксплуатации уязвимости в Linux, для активации после перезагрузки системы вредоносное ПО пытается прописать себя в скрипты инициализации /etc/init.d/, что сработает только если подвергшийся атаке браузер был запущен с root-привилегиями.

  1. Главная ссылка к новости (http://threatpost.com/cross-pl...)
  2. OpenNews: Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat
  3. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  4. OpenNews: Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache
  5. OpenNews: В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache
  6. OpenNews: Выявлено вредоносное ПО, поражающее Windows, Mac OS X и Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: java, trojan, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, вывыаы, 23:58, 29/01/2014 [ответить] [смотреть все]
  • +68 +/
    запускать браузер из под рута да еще и с плагинами?... эээ. короче, лабрадория кашперского нашла вирус в прокладке меж компутером и стулом.
     
     
  • 2.3, вывыаы, 00:00, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    да, и как-бы ls etc init d ls cannot access etc init d No such file or di... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, 1111, 02:12, 30/01/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    ls /etc/init.d
    functions  livesys  livesys-late  netconsole  network  README
     
     
  • 4.31, Аноним, 04:39, 30/01/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    когда ждём порт под systemd ? P)
     
  • 3.69, Аноним, 12:27, 30/01/2014 [^] [ответить] [смотреть все]  
  • +6 +/
    Ну дак
    $ sudo mkdir /etc/init.d
    $ sudo firefox
    что вы как маленький.
     
     
  • 4.72, вывыаы, 14:03, 30/01/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    и толку у меня сыстымД ... весь текст скрыт [показать]
     
     
  • 5.81, Аноним, 15:49, 30/01/2014 [^] [ответить] [смотреть все]  
  • +10 +/
    Ну погуглите init.d support in systemd.
    Я не понимаю, вам вирус надо завести или нет?
     
  • 2.68, laergh, 11:56, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Напоминает анекдот - Доктор когда я делаю вот так, у меня вот тут болит - А в... весь текст скрыт [показать] [показать ветку]
     
  • 2.74, arisu, 14:44, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    прямо про гуглохром речь как не дашь ему рута 8212 так жалуется, рассказывае... весь текст скрыт [показать] [показать ветку]
     
  • 2.100, XoRe, 23:04, 31/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мелко, мелко Фичареквест разрабам прописывать в bash 124 c 124 zsh 124 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, alxx, 00:00, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    О как! Уязвимость в linux :) интересно есть такие, кто под root'ом в тырнете сидят :)
     
     
  • 2.4, Anonymous528, 00:02, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Вендопоробащенные вполне могут.
     
     
  • 3.5, анонимус, 00:12, 30/01/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Очень сомнительно. Это же лишние дейтвия надо делать.
     
     
  • 4.7, paulus, 00:36, 30/01/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Все puppylinux'ы работают от рута...
     
     
  • 5.9, allnix, 00:39, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    И откатывают за 5 мин ес чо.
     
     
  • 6.12, paulus, 00:55, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    > И откатывают за 5 мин ес чо.

    Быстрее, но это же заметить еще нужно :)

     
     
  • 7.14, allnix, 01:01, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Так перекуры же , неск месяцев юзал как основную,пару лет как доп, проблем не... весь текст скрыт [показать]
     
  • 5.46, alxx, 09:18, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Насколько я понимаю Puppy не основной локомотив, так что ни используемого мною r... весь текст скрыт [показать]
     
  • 2.37, Аноним, 06:41, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    под администратором же удобно сидеть. Вот и под рутом по привычке.
     
     
  • 3.44, Аноним, 08:35, 30/01/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    А в линухе удобно и без рута... :)
     
  • 3.52, iles, 09:54, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    дурная привычка. да и никакого профита в линуксе от этого не будет.
     
  • 2.42, flvby1, 08:13, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ага. Те, кто ищут уязвимости кали-линуксом :)
     
  • 1.13, _KUL, 00:59, 30/01/2014 [ответить] [смотреть все]  
  • +7 +/
    Нужно было написать - есть уязвимость которая нанесет крах в системе виндовс. Так же ее можно использовать и в линуксе, но для того чтобы вирус заработал, необходимо сделать следующее:"и тут подробный мануал, как запустить вирус"
     
     
  • 2.27, Аноним, 02:33, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > "и тут подробный мануал, как запустить вирус"

    Здравствуйте! Я - олбанский вирус для поражения всех систем! Я уже почти наполовину внедрился в вашу систему, но дальше Вы должны мне помочь! Откройте консоль, введите su или sudo, затем пароль и дальше следуйте моим инструкциям...

     
     
  • 3.48, _KUL, 09:39, 30/01/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    Не думаю, что это прогеры админы касперского виноваты Скорее, это бестолковые м... весь текст скрыт [показать]
     
     
  • 4.62, Адекват, 10:51, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Под андроид же вроде продаются антивирусы, у меня начальник хотел купить себе та... весь текст скрыт [показать]
     
     
  • 5.70, Аноним, 12:49, 30/01/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    То что используется ядро Linux не делает андроид защищенным от вредоносных прогр... весь текст скрыт [показать]
     
     
  • 6.78, ZiNk, 15:22, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Антивирус тоже не делает Единственное что делает - наличие головы с достаточным... весь текст скрыт [показать]
     
  • 6.79, Ivan1986, 15:25, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Там тоже нужно специально постараться чтобы вирус установить
     
  • 1.15, EuPhobos, 01:11, 30/01/2014 [ответить] [смотреть все]  
  • +2 +/
    Мало того, от рута запускать брофсер, так ещё и в процессах будет висеть ява машина для работы "вируса"? пфф.. всё мечтают найти привычные виндоуз-вирусы там, где их быть не может)
     
  • 1.16, Аноним, 01:13, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Ради интереса запустил Firefox из под рута и пытался создать файл в корне, ничег... весь текст скрыт [показать]
     
     
  • 2.32, Xasd, 04:47, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    почему не вышло кто запретил какая подсистема технология не дала сделать это ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, rshadow, 06:33, 30/01/2014 [^] [ответить] [смотреть все]  
  • +6 +/
    Хоть selinux, хоть apparmour ... правила для браузеров пишутся одними из первых...
     
     
  • 4.103, Xasd, 19:30, 01/02/2014 [^] [ответить] [смотреть все]  
  • +/
    эти selinux и apparmour -- ещё и установить нужно это вам не убунтакакаянибудьт... весь текст скрыт [показать]
     
  • 3.67, Аноним, 11:29, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    killall firefox firefox - так заработало Всему виной запущенный от юзера fi... весь текст скрыт [показать]
     
     
  • 4.104, Xasd, 19:31, 01/02/2014 [^] [ответить] [смотреть все]  
  • +/
    попробуй firefox -no-remote при входе в root надо не забывать ещё и su -l про ... весь текст скрыт [показать]
     
  • 1.17, dr Equivalent, 01:33, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    > Лаборатория Касперского выявила
    > на языке Java
    > устранённая ещё летом прошлого года
    > ПО пытается прописать себя в скрипты инициализации /etc/init.d/, что сработает только если подвергшийся атаке браузер был запущен с root-привилегиями.

    0/4. Мимо, в общем.

     
  • 1.18, Андрей, 01:33, 30/01/2014 [ответить] [смотреть все]  
  • +4 +/
    Ну вот, опять... Из серии "я вирус, откомпилируйте меня пожалуйста!"
     
     
  • 2.19, dr Equivalent, 01:36, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    И из-под рута запустите.
     
     
  • 3.93, makky, 02:05, 31/01/2014 [^] [ответить] [смотреть все]  
  • +/
    И чтоб роут правильный ещё, пожалуйста, и без фильтрации
     
  • 1.20, SAF0001, 01:40, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    Откройте для себя команды sudo и pkexec, которые можно настроить на запуск без запроса пароля и пиши что и куда хочешь.
     
     
  • 2.28, Аноним, 02:39, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Угу, но чтобы сотворить сию неимоверную глупость, пароль таки сначала придется в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 06:59, 30/01/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Аноним ALL ALL NOPASSWD ALL и уже не нужно ... весь текст скрыт [показать]
     
     
  • 4.45, Аноним, 08:36, 30/01/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    А если пятку себе прострелить - можно вообще истошно орать о том что вирусы коле... весь текст скрыт [показать]
     
  • 4.63, Адекват, 10:53, 30/01/2014 [^] [ответить] [смотреть все]  
  • +3 +/
    Нужно быть рутом чтобы это написать, так что мимо ... весь текст скрыт [показать]
     
     
  • 5.87, Дядя, 18:43, 30/01/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    s/рутом/root-ом и dolboeb-ом/
     
  • 1.29, михаил, 02:55, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Кому присылать патчи для поддержки генты?
     
     
  • 2.30, Аноним, 03:02, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Главному Лаборанту лаборатории.

     
     
  • 3.64, Адекват, 11:09, 30/01/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Лаборанты лаборатории лоботомированны лабораторией лоботомии Лучше писать лабор... весь текст скрыт [показать]
     
  • 1.33, Аноним, 06:12, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    Не, у нас update 51, проехали.
     
  • 1.34, Аноним, 06:15, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Кому это может придти в голову ... весь текст скрыт [показать]
     
  • 1.36, rshadow, 06:34, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    Кто знает, почему если заменить "Лаборатория Касперского", на "Британские ученые" смысл не меняется?
     
     
  • 2.38, Аноним, 06:54, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Можно ещё так:
    Академик РАЕН Касперский высказал свою точку зрения на..
     
  • 1.40, Потерпевший, 07:10, 30/01/2014 [ответить] [смотреть все]  
  • –1 +/
    Помню браузеры chrome/chomium под рутом даже не запустятся.
     
     
  • 2.53, тигар, 10:02, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Запустите Chromium от имени обычного пользователя Чтобы запустить от имени суп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 10:23, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Я посмотрел первое сообщение и тоже снёс, понял что Потерпевший любит приврать.
     
  • 2.102, tehnikpc, 17:20, 01/02/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Зато firefox и opera работают отлично :) .
     
  • 1.47, th3m3, 09:19, 30/01/2014 [ответить] [смотреть все]  
  • +3 +/
    Очередной вброс. Без root ничего не работает. А под root никто не работает. Очередной "вирус" для Linux. Ну, хоть компилировать самому ничего не надо в этот раз :)
     
     
  • 2.54, Анончик, 10:04, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    вот оно - главное преимущество явы
     
  • 1.49, славян, 09:41, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    любую графическую программу под рутом запускать неудобно же. и о чем только эти вирусы думают .. хаха )) а если и правда считали что нашелся таки вирус для линя хоть бы тогда подробны мануал к нему приложили)) а то понапишут вирусов , а они не работают)) мне вот интересно а что делать тем кто уже на системд? им даже вирус запустить не удастся. печалька то.
     
  • 1.50, Аноним, 09:44, 30/01/2014 [ответить] [смотреть все]  
  • –3 +/
    Ну и какой тогда смысл использовать Linux вместо Windows, в плане безопасности?
     
     
  • 2.57, Аноним, 10:21, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Антон Иванов Никакого, конечно Видна лучше во всем, особенно с Антивирусом TM ... весь текст скрыт [показать] [показать ветку]
     
  • 1.51, Аноним, 09:44, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    Java -это и есть вредоносное по, ещё и мозг многих поразившее
     
     
  • 2.96, hummermania, 12:14, 31/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И это очередная пощечина в сторону оракАла
     
  • 1.55, Тот_Самый_Анонимус, 10:16, 30/01/2014 [ответить] [смотреть все]  
  • –4 +/
    Прочитал заголовок Подумал 171 наверняка какой-нибудь клоун напишет про 82... весь текст скрыт [показать]
     
     
  • 2.61, тоже Аноним, 10:51, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Прочитал новость и комментарии Подумал наверняка какой-нибудь клоун начнет те... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.97, Тот_Самый_Анонимус, 12:54, 31/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Галкин, нечего сидеть в интернетах, детей иди нянчи.
     
  • 1.65, Адекват, 11:24, 30/01/2014 [ответить] [смотреть все]  
  • –2 +/
    Когда уже появятся вирусы, ориентированные на линукс, на архитектуру его, которые будут пытаться себя прописывать в ~/.bashrc. которые будут пытаться перехватывать вводиемы с клавиатуры данные, и в них пробовать искать пароли, которые будут пытаться модифицировать исполняемые файлы, особенно бинарные, а не баш-скрипты, которые будут использоваться уязвимости для повышения привилегий, хотя бы до привилегий пользователя, "не от которого были запущенны" ?
    Видиио это не возможно, потому что все программы не качаются с инета, а ставятся из официальных репозитариев, и репозитариев сообщества.
    Все пользовательские процессы - они пользовательские. они не смогут записать ничего в системные каталоги.
    КОГДА УЖЕ появиться вирус, ориентированный на уязвимость в ядре.
    КОГДА УЖЕ появиться вирус, дающий remote ssh root ?
     
     
  • 2.71, pkdr, 13:30, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Это же опенсорс хочешь такой вирус, а его нет? Напиши сам!

    А если вирус будет действительно качественным, то его все начнут скачивать собирать, присылать патчи с фиксом багов, патчи для работы на новых архитектурах, майнтайнеры добавят его в репо дистрибутивов, портируют под FreeBSD и Plan9, потом может даже на поделие из Редмонда кто-нибудь портирует :)

     
  • 2.73, ZloySergant, 14:27, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Месяцев 7 назад добавил одну строчку в zshrc Смотрю, что-то не запускается Ч... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, arisu, 14:48, 30/01/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    ЖЕСТОКО ц ... весь текст скрыт [показать]
     
  • 2.98, Тот_Самый_Анонимус, 12:56, 31/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Наверное тогда, когда у зоопарка линуксов будут единые стандарты Пока что овчин... весь текст скрыт [показать] [показать ветку]
     
  • 1.66, eganru, 11:27, 30/01/2014 [ответить] [смотреть все]  
  • +/
    мне не довелось застать оригинальную java - сразу использовал icedtea.
    интересно, существует ли проблема в icedtea.
    ***
    за годы использования linux мне ни разу не доводилось бедствовать от вирусов и руткитов.

    я даже скачивал и собирал какой-то руткит - увы он не работал. я так понял, что такие вещи работают на стоковых ядрах какого-либо конкретного дистрибутива.

     
     
  • 2.76, arisu, 14:48, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ты и не должен был заметить, что он работает на то он и руткит ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.80, eganru, 15:34, 30/01/2014 [^] [ответить] [смотреть все]  
  • +/
    для начала были должны были быть получены права администратора и что-то там еще ... весь текст скрыт [показать]
     
  • 2.91, Аноним, 23:59, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее всего, вирусня существует, работает в определенных версиях определенного ... весь текст скрыт [показать] [показать ветку]
     
  • 1.77, laergh, 15:16, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    Где скачать вирус?
     
     
  • 2.84, Аноним, 16:12, 30/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ждём ebuild (c)
     
  • 1.82, Аноним, 15:58, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Читаю новость, вышло вредоносное ПО на java.
     
  • 1.83, Аноним, 15:59, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Ага заметьте и для Linux ведь есть!
     
  • 1.85, Аноним, 16:34, 30/01/2014 [ответить] [смотреть все]  
  • +/
    А по ссылке кто ходил Там смешное в комментах Привет Мы не исключаем вариант... весь текст скрыт [показать]
     
  • 1.86, КВ1С, 17:10, 30/01/2014 [ответить] [смотреть все]  
  • +1 +/
    Этот аферист всё не уймётся? Ну чтож, флаг ему в руки в написании так называемых "вирусов", которые "мутируют в сети" по мнению СМИ :D
     
  • 1.88, Аноним, 19:18, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Ай гляди ка напишет вирус, который будет запускаться с правами root.
     
  • 1.89, umbr, 22:50, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Студенты вирус писали.
     
  • 1.90, Аноним, 23:52, 30/01/2014 [ответить] [смотреть все]  
  • +/
    Не знаю как вам, а мне стыдно за нашу антивирусную промышленность.
     
     
  • 2.94, makky, 02:07, 31/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ЭЭЭ, слыш, они всё ключи серьезные на продукт изобретают, а ты обращаешь внимани... весь текст скрыт [показать] [показать ветку]
     
  • 1.92, Аноним, 00:19, 31/01/2014 [ответить] [смотреть все]  
  • +/
    А если предварительно записать в sudoers ALL ALL ALL NOPASSWD ALL то сработае... весь текст скрыт [показать]
     
     
  • 2.99, тоже Аноним, 19:44, 31/01/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не факт Желательно сначала добавить в sudoers пользователя admin с паролем 1234... весь текст скрыт [показать] [показать ветку]
     
  • 1.95, Аноним, 09:00, 31/01/2014 [ответить] [смотреть все]  
  • +/
    Ну если он найдет уязвимость, которая будет из обычного пользователя выполняться... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor