gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Primeiro virus para Windows e Linux!
Contribuído por AsHeS em 29-03-01 21:03
do departamento viroeses
Bug CrLf escreve "Segundo esta notícia foi descoberto o primeiro vírus que infecta tanto executáveis de Windows como de Linux.
Como se pode ler no artigo "While there are thousands of viruses swimming around on Windows computers worldwide, there are relatively few for Linux ", sim, e ao facto de os vírus para Linux (ou qualquer unix) esbarrarem com a segurança imposta pelo sistema. Haverá algum administrador de sistema que corra executáveis provenientes de lugares desconhecidos como root? Provávelmente não!
Outra curiosidade: "The W32.Winux virus is written in a primitive computer language called 'assembly language' ..." :) "

Expresso On.line em "crise" | Palm robot  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • CrLf
  • notícia
  • Mais acerca Bug
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Binário PE/ELF? (Pontos:1, Interessante)
    por Anonimo Cobarde em 29-03-01 22:08 GMT (#1)
    The W32.Winux virus is written in a primitive computer language called 'assembly language'
    Depois de ler uma coisa destas, duvido logo da credibilidade do resto do artigo.

    For one, Peer said that the virus appears to be limited to spreading only on PCs running Intel Pentium processors - meaning it could not spread to Sun Microsystems Inc. (NasdaqNM:SUNW - news) servers running Linux.
    Hmmmm.... será que isto tem alguma coisa a ver com a tal linguagem primitiva usada :)

    É possível criar um executável que possa ser carregado nos dois sistemas operativos? Como é que pode ser correctamente identificado pelos 'loaders' de cada SO?

    No artigo diz: "Users can set off the dormant virus by either double-clicking on an infected program or e-mail attachment."

    Depois de ler isto pensei que seria apenas um vírus para Win32, com a capacidade de ler partições Linux. O site da AVX refere o seguinte:

    Name: Win32.Winux,Linux.Winux, Win32.PEELF.2132
    Aliases : W32/Lindose, ELF/Lindose, W32/Winux

    Isto é, são vários vírus (é a única explicação que encontro). Cada vírus tem a capacidade de infectar binários ELF e PE (isto é perfeitamente possível). O vírus que corre em Windows tem de aceder às partições Linux (mais difícil, mas possível). Se são vários vírus, então não é um vírus multiplataforma. Até duvido que alguém já não tenha feito vírus parecidos.

    Isto parece-me uma companhia de AV com sede de publicidade, servindo-se do nome do Linux.

    Re:Binário PE/ELF? (Pontos:1)
    por LostStar em 29-03-01 22:49 GMT (#3)
    (Utilizador Info)
    Errr.... eu não sou de cá , só vim ver a bola, mas por acaso sabem que dia é domingo ?
    Eu já não acredito no pai natal... vocês acreditam ?

    The truth is out there...
    ou como se diz em portugues
    A truta está lá fora...
    Re:Binário PE/ELF? (Pontos:1)
    por eddie em 30-03-01 8:31 GMT (#6)
    (Utilizador Info)
    Sim.... é possivel criar codigo assembly q corra em mais q uma plataforma... Isso foi feito para um concurso para a defcon (nao me lembra qual nem o link... mas assim q encontrar posto aqui), e faz uso de determinadas instrucoes cujos opcodes sao iguais mas as funcoes sao diferentes... Por exemplo uma instrucao com opcode XXh q em intel seja um jmp e em sparc seja um nop... (exemplo obviamente ficticio :) Isto ja permitia dentro do mesmo binario ter dois pedacos de codigo especificos de cada arquitectura.
    Re:Binário PE/ELF? (Pontos:0)
    por Anonimo Cobarde em 30-03-01 15:40 GMT (#15)
    O que dizes parece-me correcto, mas a questão aqui é outra (o vírus supostamente só corre em x86, por isso multiplataforma neste contexto refere-se a Windows/Linux).

    Um ficheiro binário tem um formato específico, onde não existe apenas código assembly (x86 neste caso). Existe mais informação, específica do formato em que se encontra o ficheiro. O que me parece impossível é criar um binário que respeite simultaneamente os formatos usados em Windows e Linux. Isto é, poderias correr o binário em Windows ou Linux, sem alterações.

    A primeira vez que o vírus é executado tem de ser num formato e plataforma específicos. Depois sim, pode infectar vários binários, em formatos diferentes, usando rotinas de código diferentes.

    Aquilo que disseste fez-me tb lembrar aquele programa que podia ser compilado/interpretado em várias linguagens simultaneamente, mas isso não tem nada a ver com isto :)

    Re:Binário PE/ELF? (Pontos:0)
    por Anonimo Cobarde em 05-04-01 12:43 GMT (#24)
    Se eu fizesse um virus deste tipo imaginava-o da seguinte forma, estilo ovo de Colombo, muito simples e que nunca ninguem se lembrou. O código do virus embebido binariamente num executável windows ou linux, contem ambos os códigos binários para ambas as plataformas. Ou seja, quando ele está num executável de windows, a parte binária linux serve apenas para quando ele detecta que o binário a infectar é do linux ser esse o pedaço de código que ele vai colocar como hospedeiro, anexando igualmente a parte binária para windows de modo a poder infectar executáveis x86. De igual modo, sendo executado o programa infectado em linux, a parte binária do virus que é executada é a do linux (porque quando este foi infectado recebeu instrução que seria esta parte a ser executada e não a do windows que apenas se comporta como normais dados). Assim, o binário linux a infectar um ficheiro x86 vai colocar a parte binária windows e linux juntamente com a instrução de que é a parte windows que é executada. Julgo que é bastante simples e óbvio.
    sys admins vs. newbies (Pontos:1)
    por bgravato em 29-03-01 22:45 GMT (#2)
    (Utilizador Info)
    > Haverá algum administrador de sistema que corra executáveis provenientes de lugares desconhecidos como root? Provávelmente não!

    Administrador de sistema talvez não (embora não ponha as minhas mãos no fogo), mas muitos home users novos no linux talvez sim, especialmente aqueles que andam sempre à procura de "nukes" e afins por sites "macabros", embora desses eu não tenha pena nenhuma.

    Mas aqueles que são novos no linux e estão a dar os primeiros passos, muitas vezes correm o X e as demais aplicações como root... e muitas vezes têm windows e linux no mesmo computador, e gostam sempre de "montar" a partição do windows no linux, e depois arriscam-se a perder dados importantes...

    É claro que no linux os virus nunca serão uma ameaça tão grande como no windows devido às políticas de segurança nos sistemas *nix.

    Cumprimentos,
    Bruno Gravato.

    Re:sys admins vs. newbies (Pontos:2)
    por CrLf em 30-03-01 11:14 GMT (#10)
    (Utilizador Info)
    Eu estava a falar de utilizadores sérios (não só sysadmins), não de pessoal que salta para o Linux como se salta de um comboio em movimento sem sequer ler um simples HOWTO ou semelhante onde 95% das vezes (os outros 5% são ranhosos) se pode ler logo no início em letras bem gordas "Só entrar como root quando estritamente necessário!".
    Vir do Windows para o Linux não implica só aprender um novo sistema, implica também ganhar novos hábitos e perder outros antigos (quantas vezes eu já ouvi perguntar onde se pode arranjar um defrag para Linux... mas isso já é outra história).
    Bottom line: se não querem aprender, temos pena, fiquem pelo Windows ou sofram as consequências.

    -- Carlos Rodrigues

    - "I think my men can handle one little penguin!"
    - "No, Mr. Gates, your men are already dead!"
    Re:sys admins vs. newbies (Pontos:0)
    por Anonimo Cobarde em 30-03-01 15:31 GMT (#13)
    permita-me a ousadia... ;-) http://freshmeat.net/projects/defrag/ afinal, sp existe :P
    Re:sys admins vs. newbies (Pontos:2)
    por CrLf em 30-03-01 23:00 GMT (#19)
    (Utilizador Info)
    Sim existe, não disse que não, mas aparentemente não é aconselhado por ninguém e é até arriscado usá-lo (além de não levar a nenhum aumento de performance).

    -- Carlos Rodrigues

    - "I think my men can handle one little penguin!"
    - "No, Mr. Gates, your men are already dead!"
    Re:sys admins vs. newbies (Pontos:1)
    por bgravato em 31-03-01 1:59 GMT (#21)
    (Utilizador Info)
    Esse tipo de utilizadores que falas, também em windows dificilmente correrão executáveis provenientes de fontes duvidosas, e não me parece que se deixem "infectar" por vírus assim tão facilmente...

    Nem todos os utilizadores de linux são "experts" e nem todos os utilizadores de windows são "lammers". Portanto do ponto de vista da análise dos utilizadores acho que não se pode fazer assim uma distinção baseada exclusivamente no sistema operativo.

    Cumprimentos,
    Bruno Gravato.

    Re:sys admins vs. newbies (Pontos:2)
    por CrLf em 31-03-01 13:05 GMT (#22)
    (Utilizador Info)
    Mas tens de admitir que a percentagem de "lammers" no Windows é mais ou menos equivalente à percentagem de "experts" em Linux, os quais perfazem a maioria.

    -- Carlos Rodrigues

    - "I think my men can handle one little penguin!"
    - "No, Mr. Gates, your men are already dead!"
    Re:sys admins vs. newbies (Pontos:1)
    por bgravato em 31-03-01 13:24 GMT (#23)
    (Utilizador Info)
    Já foi mais...
    Hoje em dia já há muita gente a experimentar o linux, e acho que está a deixar de ser (ou já deixou) um sistema operativo de "elite". E a tendência é a de a percentagem dos chamados "lammers" a usar linux vir a aumentar cada vez mais.

    Por isso surgem vírus e afins... onde há pessoas ingénuas, inexperientes, etc, aparecem sempre os oportunistas e afins a tentar aproveitar-se. Sem esquecer claro das guerras entre empresas, e de certo que existem algumas que não lhes interessa muito que o linux prolifere, e todos os meios para o impedir são válidos...

    Cumprimentos,
    Bruno Gravato.

    Re:sys admins vs. newbies (Pontos:1)
    por MavicX em 30-03-01 13:53 GMT (#12)
    (Utilizador Info)
    "os primeiros passos, muitas vezes correm o X e as demais aplicações como root... "
    Se estão a dar os primeiros passos não são system admins logo mesmo se ficarem infectados não tem de responder a niguem, nem tem dados assim tão importantes na Box. Alem disso como estão sempre a instalar e a apagar coisas estão muitas vezes como root para facilitar esses processos em vez de tarem sempre a fazer SU .
    Temos de entender que muitas das pessoas que vem para o Linux não são Admins nem se interessam por questões de segurança, são apenas simples utilizadores que vem com os habitos do Windows e que não vão mudar tão depressa.

    Re:sys admins vs. newbies (Pontos:1)
    por bgravato em 31-03-01 1:53 GMT (#20)
    (Utilizador Info)
    Muitos dos utilizadores do windows também não são admins e não é por causa disso que deixam/devem deixar de se preocupar com os vírus...

    Cumprimentos,
    Bruno Gravato.
    Se executar o seguinte comando como root... (Pontos:2)
    por Cyclops em 29-03-01 22:56 GMT (#4)
    (Utilizador Info)
    # rm -rf /

    ...vai ler o correio rapidamente (todos aqueles megabytes de jokes e pr0n: read mail real fast / raiz do mail). Para alem do mais, o seu sistema vai ganhar espaco livre em disco! E fantastico e resulta sempre!

    Resumindo, nao corras codigo estranho! :)
    Re:Se executar o seguinte comando como root... (Pontos:1)
    por TarHai em 30-03-01 7:58 GMT (#5)
    (Utilizador Info) http://www.dilbert.com
    ummm

    E melhor tirar o # da frente senao nao funciona :P


    Re:Se executar o seguinte comando como root... (Pontos:0)
    por Anonimo Cobarde em 30-03-01 9:42 GMT (#7)
    Olha que boa oportunidade tu perdeste para estar calado.
    Re:Se executar o seguinte comando como root... (Pontos:0)
    por Anonimo Cobarde em 30-03-01 16:17 GMT (#17)
    bem jogado, boa opurtunidade de tar calado, pena os otários dos editores na porem um "desinteressante" (ok, agora tb eu mereço o mesmo)
    Re:Se executar o seguinte comando como root... (Pontos:0)
    por Anonimo Cobarde em 30-03-01 16:26 GMT (#18)
    yah, e tu, com a tua maneira de escrever grotesca e a chamares otários aos editores merecias antes um "bronco"
    isto sim... é um virus multi plataforma... (Pontos:1)
    por drdude em 30-03-01 10:20 GMT (#8)
    (Utilizador Info)
    em windows.. .claro está! ;-)

    The following is a Security Bulletin from the Microsoft Product Security
    Notification Service.

    Please do not reply to this message, as it was sent from an unattended
    mailbox.
                                            ********************************

    -----BEGIN PGP SIGNED MESSAGE-----

    - ----------------------------------------------------------------------
    Title: Incorrect MIME Header Can Cause IE to Execute E-mail
                            Attachment
    Date: 29 March 2001
    Software: Microsoft Internet Explorer
    Impact: Run code of attacker's choice.
    Bulletin: MS01-020

    Microsoft encourages customers to review the Security Bulletin
    at: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
    - ----------------------------------------------------------------------

    Issue:
    ======
    Because HTML e-mails are simply web pages, IE can render them and
    open
    binary attachments in a way that is appropriate to their MIME types.
    However, a flaw exists in the type of processing that is specified
    for
    certain unusual MIME types. If an attacker created an HTML e-mail
    containing an executable attachment, then modified the MIME header
    information to specify that the attachment was one of the unusual
    MIME
    types that IE handles incorrectly, IE would launch the attachment
    automatically when it rendered the e-mail.

    An attacker could use this vulnerability in either of two scenarios.
    She could host an affected HTML e-mail on a web site and try to
    persuade another user to visit it, at which point script on a web
    page
    could open the mail and initiate the executable. Alternatively, she
    could send the HTML mail directly to the user. In either case, the
    executable attachment, if it ran, would be limited only by user's
    permissions on the system.

    Mitigating Factors:
    ====================
    The vulnerability could not be exploited if File Downloads have been
    disabled in the Security Zone in which the e-mail is rendered. This
    is
    not a default setting in any zone, however.

    Patch Availability:
    ===================
      - A patch is available to fix this vulnerability. Please read the
          Security Bulletin
          http://www.microsoft.com/technet/security/bulletin/ms01-020.asp
          for information on obtaining this patch.

    Acknowledgment:
    ===============
      - Juan Carlos Cuartango (http://www.kriptopolis.com)

    - ---------------------------------------------------------------------
    Re:isto sim... é um virus multi plataforma... (Pontos:1)
    por mlopes em 30-03-01 10:28 GMT (#9)
    (Utilizador Info)
    Grande virus multi plataforma, o virus IE só se arrasta em Windows e Mac.
    Re:isto sim... é um virus multi plataforma... (Pontos:1)
    por drdude em 30-03-01 12:35 GMT (#11)
    (Utilizador Info)
    eu ja' nem me lembrava do Mac...

    so' me estava a lembrar das plataformas:
    Win95,Win98,WinMe,WinXP,Win2KPro,Win2kServer,Win2KAdvancedServer, Win2KDatacenter, e na volta WinCE2, WinCE3.

    eheh ;-)
    Re:isto sim... é um virus multi plataforma... (Pontos:0)
    por Anonimo Cobarde em 30-03-01 15:35 GMT (#14)
    nao te eskeceste de nenhum?!
    Re:isto sim... é um virus multi plataforma... (Pontos:0)
    por Anonimo Cobarde em 30-03-01 15:49 GMT (#16)
    esqueceu-se do cimento.

    "As hard as a rock and as dumb as a brick"

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]