Новый троян для Linux селится в видеокарте и переживает перезагрузку
Вирусописатели продемонстрировали концепт нового руткита под названием Jellyfish. Главной инновационной особенностью этого зловреда является его способность использовать для работы процессор видеокарты (GPU) и жить в оперативной памяти видеоускорителя.
ПМЖ в видеокарте обеспечивает Jellyfish полную невидимость. По словам специалистов по информационной безопасности, на сегодняшний день не существует антивирусных инструментов, которые могли бы обнаружить вредоносные объекты в видеопамяти, не говоря уже о лечении компьютера.
После того, как на компьютер жертвы устанавливается Jellyfish, вредонос начитает перехватывать нажатия клавиш в поисках паролей и использовать GPU для генерации криптовалют. Разработчики обещают, что скоро функциональность руткита будет расширена.
Самой зловещей способностью Jellyfish является возможность пережить выключение компьютера. Вредоносный код будет сохранен и получит управление при следующем включении. Как это реализовано пока не сообщается, ведь на видеокартах установлена обычная ОЗУ типа DDR, которая теряет хранимые данные при обесточивании. Тем не менее, вирусописатели сообщают, что нашли способ сохранить тело руткита в видеокарте. Таким образом, лечение жесткого диска не поможет, а инструментов для борьбы с вирусами в видеопамяти не существует. Получается, что гражданин, поймавший на компьютер Jellyfish, должен будет некоторое время смириться с кражей своих паролей и нецелевым использованием компьютера.
Удивительно, но Jellyfish предполагается распространять под свободной лицензией (уже сейчас можно найти исходный код на GitHub). Другой особенностью руткита — и весьма забавной — является зависимость от библиотеки OpenCL, которая используется для доступа к базовым функциям видеоускорителей от Nvidia и AMD. Если на компьютере эта библиотека не установлена, либо используется ускоритель другой фирмы, Jellyfish работать откажется.
Комментарии
pomodor
9 мая, 2015 - 18:51
Еще одна причина не подключать репозитории третьей стороны, что так любят делать убунтоиды. Из-за доступности исходного когда, сейчас половина программ в сторонних репозиториях будет засрана этим Jellyfish.
Чингачгук
10 мая, 2015 - 10:22
спасибо за инфу, полез чистить репы.. Звучит конечно почти нереально, надо побольше узнать про вирус, интересно вглянуть на исходник если будет возможность.
pomodor
10 мая, 2015 - 16:51
Возможность уже есть. Ищите Jellyfish на GitHub. Прямую ссылку не даю по идейным соображениям.
Чингачгук
12 мая, 2015 - 09:29
Звучит как первомайский розыгрыш.
Чингачгук
11 мая, 2015 - 15:32
с одной стороны вы правы, другой это просто дикое ограничение. Есть куча софта сторонних производителей, которые делают интересные программы. Мне нравится myTetra например, хотя в чемто уступает cherrytree, мне с ней удобней работать, лучше вставка из html файла. Нашел также заменитель irfanviewer, не такой монстр как gimp (правда забыл как называется, пишу из винды с работы :). Да много чего, причем репы тоже не спасают, через .deb или тарболл тоже можно так же легко словить этот вирус. Вообще отказаться от стороннего софта это как в винде пользоватся только IE для интернета :)
pomodor
11 мая, 2015 - 16:37
Я не очень точно выразился. Не отказываться от репозиториев третьей стороны, а внимательно проверять их перед использованием. И любое подключение чего-то внешнего должно быть оправдано. Я, например, подключаю внешние репозитории для R. Я могу точно назвать причину, по которой мне это понадобилось. Могу назвать номер штатной версии, номер в репозитории и те новые функции, из-за которых я это делаю. Перед подключением, я проверю: правда ли адрес репозитория указывает на официальный источник пакетов. Если все в порядке, можно подключаться. Но меня поражают убунтоиды, которые не глядя копипастят код из статей. В лучшем случае они получат нестабильное поведение системы, а в худшем — троян и потерю всех данных.
comrade
11 мая, 2015 - 16:49
Тоже хотел написать, что к репозиторию самих авторов какой-либо программы всё-таки есть определённое доверие – вряд ли они будут "гадить где живут".
Если постоянно пользуешься какой-то программой, хочется её исправленную версию, с новыми возможностями. Не менять же из-за этого дистрибутив, если всё остальное устраивает и отлично настроено!
Правда, чем больше источников подключено, тем больше риск, что когда-то один из источников ломанут, и выложат каку вместо обновления.
jtad
11 мая, 2015 - 17:39
сорри, я хотел Texnoline ответить, получилось автору поста. Конечно проверка адреса нужна, я тоже если вижу ссылку на пакет, пытаюсь зайти сначала к автору на страницу и скачать оттуда, а репы проверять и подключать только в крайнем случае. Кстати графический редактор который заменил мне irfanviewer называется XnView кому интересно.
freecold
12 мая, 2015 - 10:08
Ну во первых ещё ничего не работает, есть идея и наброски кода. И как сама команда x0r1 говорит — мы наблюдаем за тем что из этого может получиться. Теоритически да можно создать такой руткит — но на деле ничерта не получается.
А сам проект создан для своевременного предупреждения, что такое вообще возможно и надо думать сейчас что с этим делать. Правда практика показывает что "вирусов-живых" под линукс нет.
Интересно и то что под Вантузы уже есть релиз (только по исходникам я так понял он под cuda написан — из этого следует что работает он только с видеокартами nvidia)
PS^ А в Linux пока вообще не идёт речь об угрозе:) так что спите спокойно(пока).
pomodor
12 мая, 2015 - 18:36
Работает. Но за выкладывание вредоносного кода ФБР запросто за яйца может взять. А так гражданин разместил на GitHub рекламу, а дальше покупатели этой гадости будут писать в личку и приобретать действующий образец.
Чингачгук
20 мая, 2015 - 21:03
И поэтому выложен релиз под Вантуз :)
А на бяки под винду ФСБ закрывает глаза(это вантуз)? =)))
Комментировать