Перейти к содержимому



- - - - -

вирус для линукса


  • Вы не можете ответить в тему
  • Вы не можете создать новую тему
Сообщений в теме: 4

#1 OFFLINE   drBatty

 

    Долгожитель

  • Юзвери
  • PipPipPipPipPipPipPipPipPipPip
  • сообщений: 1 023
    Последний визит:
    02 Май 2010 14:30
  • Пол:Мужчина
 

Отправлено 28 Март 2010 - 15:49

А вот касперский и ко уже отыскали и внесли в базы вирус, который успешно работает и в венде и в линуксе. И даже добавили его в базу.
Вот так-вот... Правда для линукса этот вирус нужно собирать самостоятельно :-)

цитата видимо с CNews.

Цитата

Эксперты "Лаборатории Касперского" обнаружили новый вирус, поражающий компьютеры и на Windows, и на Linux. Пока подобные коды не несут деструктивного функционала.


Кроссплатформенный вирус получил двойное название Virus.Linux.Bi.a/Virus.Win32.Bi.a. Это очередная попытка создать вирус, работающий сразу на нескольких платформах — как под Win32, так и под Linux. Код написан на Assembler и достаточно прост: заражает файлы только в текущем каталоге.
"О тенденции бурного развития кроссплатформенных вирусов в ближайшем будущем говорить нельзя, - сообщили CNews в "Лаборатории Касперского". - Это всего лишь второй кроссплатформенный вирус в этом году (первым был пресловутый Cxover для PC/мобильных устройств). Все они создаются в настоящее время исключительно с демонстрационной целью. Нам очевидно, что классические файловые вирусы "умерли", в них нет ничего, что может заинтересовать киберпреступников. Например, кроссплатформенных троянцев мы еще не встречали. Сейчас, на наш взгляд, андеграунду не нужны кроссплатформенные вещи, им хватает и еще надолго хватит сотен миллионов пользователей Windows".
Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов. Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла. Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.
На Win32 вирус использует функции Kernel32.dll. В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp».
Зараженные файлы содержат строки: "[CAPZLOQ TEKNIQ 1.0] © 2006 JPanic: This is Sepultura signing off... This is The Soul Manager saying goodbye... Greetz to: Immortal Riot, #RuxCon!". Кроме того, сам инфектор содержит строки: "[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER © 2006 JPanic [CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!".
Новый вирус интересен, главным образом, благодаря своей кроссплатформенности. Какого-либо практического применения он не имеет и деструктивного функционала в данный момент в себе не несет, поскольку является типичным представителем концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.
Bi - коллекционный вирус, он был прислан в "Лабораторию Касперского" автором через третью сторону. В "дикой природе" новый код не встречается, и ни в каких странах пока не обнаружен.

http://www.viruslist...logid=183651915

Цитата

Crossplatform virus - the latest proof of concept
Kostya       April 07, 2006 | 07:32  GMT  

comments (11)  
We’ve received a new sample: another cross platform virus. This sample is the latest attempt to create malicious code which will infect both Linux and Win32 systems. It’s therefore been given a double name: Virus.Linux.Bi.a/ Virus.Win32.Bi.a

The virus is written in assembler and is relatively simple: it only infects files in the current directory. However, it is interesting in that it is capable of infecting the different file formats used by Linux and Windows - ELF and PE format files respectively.

To infect ELF files, the virus uses INT 80 system calls and injects its body into the file immediately after the ELF file header and before the “.text” section. This changes the entry point of the original file.

Infected files are identified with a 2-byte signature, 7DFBh, at 0Bh.

The virus uses the Kernel32.dll function to infect systems running Win32. It injects its code to the final section, and gains control by again changing the entry point. Infected PE files contain the same 2-byte signature as ELF files; the signature is placed in the PE TimeDateStamp header.

Infected files contain the following text strings:

[CAPZLOQ TEKNIQ 1.0] © 2006 JPanic:

This is Sepultura signing off...

This is The Soul Manager saying goodbye...

Greetz to: Immortal Riot, #RuxCon!

The infector itself contains the following strings:

[CAPZLOQ TEKNIQ 1.0] VIRUS DROPPER © 2006 JPanic

[CAPZLOQ TEKNIQ 1.0] VIRUS SUCCESFULLY EXECUTED!

The virus doesn’t have any practical application - it’s classic Proof of Concept code, written to show that it is possible to create a cross platform virus.
However, our experience shows that once proof of concept code is released, virus writers are usually quick to take the code, and adapt it for their own use.

Detection for Virus.Linux.Bi.a/ Virus.Win32.Bi.a was added to the Kaspersky Anti-Virus databases shortly after the sample was received.


#2 OFFLINE   drBatty

 

    Долгожитель

  • Юзвери
  • PipPipPipPipPipPipPipPipPipPip
  • сообщений: 1 023
    Последний визит:
    02 Май 2010 14:30
  • Пол:Мужчина
 

Отправлено 28 Март 2010 - 16:00

http://www.cybersecu...ru/os/9231.html

Цитата

Кроссплатформенный вирус Virus.Linux.Bi.a/ Virus.Win32.Bi.a более не опасен для Linux
[+] шрифт [-]
(08:43) 24.04.2006

Не так давно в сети Интернет появился межплатформенный вирус, опасный как для пользователей операционной системы Microsoft Windows, так и для приверженцев Linux.

На днях автор открытой операционки Линус Торвальдс (Linus Torvalds) сообщил об устранении уязвимости в ядре программного продукта, используя которое вредоносный файл и проникал в компьютер, сообщает http://softkey.info.

Вирус, известный под кодовым названием Virus.Linux.Bi.a/ Virus.Win32.Bi.a впервые был обнаружен 7 апреля нынешнего года специалистами "Лаборатории Касперского", присвоившими программе статус концептуальной из-за ее способности наносить ущерб сразу двум операционным системам. Выяснив, что злонамеренное приложение не запускается на последних версиях Linux, разработчики открытого программного обеспечения провели небольшое расследование и обнаружили, что уязвимость является скрытой и связана она и компилятором, используемым операционкой. Поэтому опасен Virus.Linux.Bi.a/ Virus.Win32.Bi только для тех выпусков ядра Linux, в которых компиляция осуществляется с помощью опции REGPARM.

Кстати, патч, написанный Торвальдсом, пока недоступен для пользователей. Скорее всего он будет опубликован одновременно с выходом ядра Linux версии 2.6.17.


#3 OFFLINE   arda258

 

    Резидент

  • Постоянные посетители
  • PipPipPipPipPipPipPipPip
  • сообщений: 584
    Последний визит:
    11 Фев 2013 11:12
 

Отправлено 28 Март 2010 - 16:09

ты уже собрал себе личный вирус?

#4 OFFLINE   drBatty

 

    Долгожитель

  • Юзвери
  • PipPipPipPipPipPipPipPipPipPip
  • сообщений: 1 023
    Последний визит:
    02 Май 2010 14:30
  • Пол:Мужчина
 

Отправлено 28 Март 2010 - 16:46

Просмотр сообщенияarda258 (29th March 2010 - 01:09) писал:

ты уже собрал себе личный вирус?
неа. Касперский редиска - исходники зажал. Ему же их прислали, а он - зажал.  :punish:

#5 OFFLINE   arda258

 

    Резидент

  • Постоянные посетители
  • PipPipPipPipPipPipPipPip
  • сообщений: 584
    Последний визит:
    11 Фев 2013 11:12
 

Отправлено 28 Март 2010 - 22:12

Просмотр сообщенияdrBatty (Mar 28 2010, 16:46) писал:

неа. Касперский редиска - исходники зажал. Ему же их прислали, а он - зажал.  :punish:
не, ну йа знал, что он гад... но зажимать исходники.... какой то прям Гитлер в антивирусном обличьи...(((





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных