Вирусописатели пробуют свои силы в Linux
Аналитики из компании «Лаборатория Касперского» обнаружили концептуально новый вид вредоносного ПО для Linux. Вирус, получивший название «Rootkit Linux Snakso-A» по внутренней классификации, заражает Linux-системы на уровне ядра, подменяя вывод веб-серверов. Таким образом, все веб-сайты, размещенные на зараженном сервере, оказываются опасными для своих посетителей. Веб-сервер работает в обычном режиме, только в отправляемые пакеты на низком уровне вставляются специальные теги «iFrame», в которых спрятаны ссылки для скрытой загрузки вредоносного контента.
По имеющимся данным, новый вирус поражает 64-битные системы с ядром kernel 2.6.32-5-amd64 и популярным веб-сервером Nginx. Размер исполняемого файла, обнаруженного в «диком виде», составляет около 500 Кбайт, но специалисты оправдывают такой неестественно большой размер тем, что пока вирус скомпилирован с включением всей отладочной информации. Опасность заключается в том, что администратор сервера практически не имеет возможности определить наличие «закладки» на своем сервере. Под угрозой оказываются пользователи, заходящие на сайты, которые обслуживаются зараженной машиной. Каждый раз при заходе на такой сайт они получают дополнительно скрытые ссылки, которых нет в выводе веб-сервера. Фактически, вирус подменяет исходящие TCP-пакеты, отправляемые посетителям веб-сайтов.
Исследователи считают, что сейчас обнаруженный вирус находится на ранней стадии развития. Ряд функций в нем реализован не полностью, а некоторые функции еще предстоит увидеть в действии. В какой-то мере его можно считать прототипом будущего серверного супервируса. Сам по себе вирус не распространяет вредоносный контент — эта задача возложена на вспомогательные серверы, размещенные где-то еще. Еще один признак необычной сложности вируса — связь с управляющим сервером осуществляется с использованием шифрованного пароля.
Механизм внедрения iframe-тегов оказался довольно интересным. Вирус не затрагивает уязвимости в Java, Flash, в веб-серверах и других технология. Вместо этого фреймы внедряются прямо в исходящий HTTP-трафик за счет подмены системной функции «tcp_sendmsg».
Дополнительный анализ вируса Snakso-A провела британская компания CrowdStrike. По заявлению британских специалистов, высока вероятность применения этого вируса на сайтах, которые часто посещаются сотрудниками тех или иных организаций, как часть кампании по шпионажу. Также вирус может применяться в атаках типа «водопой», где выбранные жертвы без опаски заходят на проверенный ресурс, уже зараженный злоумышленниками.
По мнению экспертов компании Crowdstrike, вирус мог быть создан на заказ программистами из России, причем программистами среднего уровня без глубоких знаний в работе с ядром Linux. На российское происхождение указывают инструменты и методы, использованные при создании вируса, а также некие факторы, которые компания Crowdstrike отказалась раскрыть.
Комментарии
comrade
23 ноября, 2012 - 10:49
Так вирус, или всё же закладка?
Сам распространяется, или кто-то должен ручками сервер "заминировать"?
Почему-то этот (маловажный;-) вопрос обойдён вниманием в статейке...
MrBison
23 ноября, 2012 - 15:20
Похоже, что это именно вирус, который заражает другие компьютеры и превращает установленные на них копии nginx в дальнейшие его распространители.
Кстати, никто не подскажет, где купить антивирус для Linux? Желательно подороже и потормознее -- говорят, такие самые эффективные.
comrade
25 ноября, 2012 - 09:47
Почитал, что-то не нашёл подтверждения, что это вирус.
Что он делает с трафиком – описывают. А что он может сам распространяться – нет.
__________________
Я помню вирус – который на роутеры с линуксами и стандартными паролями залезал. Было такое.
Вот с роутерами, мне думается, проблемка есть – там же линукс автоматически не обновляется, т.е., через какую-нибудь неисправленную уязвимость можно бяку ожидать.
(Обычно фраза "я тут поднял свой домашний сервачок" вызывает улыбку, но получается, что зерно истины в этом есть, ну и сноровка-тренировка, конечно.)
А роутеры остаётся только регулярно перепрошивать, пока их автообновляемыми не сделали. Правда перепрошивка тоже черевата неожиданностями((:
Чингачгук
23 ноября, 2012 - 23:03
Вот касперыч старается.сами пишем.сами внедряем.сами лечим)
Чингачгук
24 ноября, 2012 - 00:49
Ну чушь же, ну. Доказательства есть у тебя? Доказательств нет. Это все равно, что обвинить разработчиков линукса в вирмейкерстве под винду. Ведь чем больше вирусов и глюков на винде, тем больше народу пойдет искать альтернативы.
Чингачгук
24 ноября, 2012 - 01:01
Сам искал такую альтернативу.но к сожалению.ни один дистрибутив не смог дотянуть до уровня винды.вездесущий примитив.или полная безвкусица вроде ubuntu ultimate edition.продолжают ваять 9 тысячь криворуких поделок,а жаль.значит винда форево((
Чингачгук
24 ноября, 2012 - 13:30
Это ты не смог дотянуть до уровня пользователя ПК.
YOOnix
25 ноября, 2012 - 07:24
Искать и пробовать - это одно, а вот поставить себе задачу - "Я перехожу на Linux и всё" - это совсем другое. Я как-то давным давно тоже долго не мог привыкнуть к Пингвину после долголетнего пользования Мастдаевской ОС, но сейчас всё норм.
comrade
25 ноября, 2012 - 09:14
Иногда переход совершается естественным путём.
Списал подружке xubuntu-wubi второй системой к XP.
Линукс у меня уже был хорошо и удобно настроен
(а то часто "привыкание" – это время на то, чтобы разобраться – как тут всё удобно для себя настроить:-)
Она попробовала, попробовала:
навыки работы те же,
система грузится и программы запускаются заметно быстрее, работает отзывчивее,
автоматические обновления ставятся незаметно, а не как в виндовсе (где ещё и у кучи программ свои авто-обновлялки параллельно работают),
Из интернета всякие "бары" и "полезнейшие программы" не устанавливаются, не засирают систему.
Спросила – есть ли графический редактор со слоями... Пожалуйста – вот Gimp, вот Pinta. Вполне подошли.
Так ей в итоге линукс просто понравился больше, и она на линукс переехала без всяких волевых усилий, сравнила – там лучше, и отлично.
Уже своим подругам похвасталась – одна так сразу ухватилась за идею, просится ко мне с ноутбуком за линуксом, а то виндовс у неё подолгу не живёт (похоже девушка любит куда не надо в интернете походить;-)
Чингачгук
26 ноября, 2012 - 00:31
Вот только сегодня.надеюсь не сглазить наткнулся на дистр.который не стыдно включать.жаль он уже не поддерживается.а сделан он на основе убунты 11.04.и написали его сотрудники журнала CHIP.Называется он SIALIA(СИНЯЯ ПТИЦА)вот это я понимаю.настраиваемость из коробки.стыдно должно быть каноникал за свою кривоногую убунту!
comrade
26 ноября, 2012 - 01:28
Странно, а сделан на основе "кривоногой убунты"... ((-;
Кстати, у убунты 11.04 как раз недавно закончились все полтора года поддержки. Дальше обновления для этой "СИНЕЙ ПТИЦЫ" будут выпускаться силами сотрудников журнала CHIP?
Чингачгук
26 ноября, 2012 - 01:33
Наверно.там есть раздел с поддержкой.и работает шустрее чем убунта.жаль не выпускают ничего нового
Чингачгук
26 ноября, 2012 - 01:41
Вы были правы.это именно интегра.просто обоина с логотипом чипа.ввела в заблуждение.они просто распространили его с одним номером журнала.прошу прощение за неточность
Чингачгук
24 ноября, 2012 - 23:43
Может ты и прав.но ведь даже жить в квартире с оборваными или криво поклееными обоями тоже неприятно.
Комментировать