Изучение уникального ботнета Windigo из серверов Linux/UNIX
Целью операции Windigo, как ее назвали в ESET, было заражение компьютеров под Windows, кликфрод и рассылка спама. Некоторые компоненты Windigo обнаружены сторонними экспертами в предыдущие годы, в том числе бэкдор Ebury. О них сообщалось ранее, но масштаб угрозы недооценивался сообществом специалистов по ИТ-безопасности, ведь бэкдор устанавливался на серверы вручную. Предполагалось, что это единичные случаи таргетированных атак. Никто не мог предположить, что таким способом возможно обработать десятки тысяч серверов. Однако, с момента первого обнаружения бэкдора на kernel.org в сентябре 2011-го прошло уже два с половиной года, а Windigo все еще продолжает приносить прибыль неизвестным злоумышленникам. В июне 2013 года обнаружено 7707 зараженных серверов, в октябре — 12 326, в январе 2014-го — 11 110. С момента начала мониторинга зарегистрировано 26 024 уникальных IP-адреса, инфицированных Ebury, в том числе 3794 новых за последние три месяца.
«Более 35 миллионов спам-писем рассылается ежедневно, — говорит специалист по безопасности Марк-Этьен Левейе (Marc-Étienne Léveillé. — Что еще хуже, каждый день более полумиллиона компьютеров подвергаются риску заражения, поскольку подключаются к серверам, где установлены компоненты Windigo, перенаправляющие пользователей на страницы с эксплойт-паком».
Компания ESET подготовила технический отчет (зеркало и индикаторы проникновения, которые помогут системным администраторам обнаружить бэкдор на своих серверах. В случае с Ebury проще всего использовать следующую команду.
*nix-вирусы //16.11.2001 Версия для печати Комментарии | Автор Cordex
Как ты видишь, тему *nix и все, что с ними связано, Хакер в последнее время затрагивает очень хорошо. Не будет исключением и данная статья, где я поговорю с тобой о не слишком известных, но все же существующих вирусах в *nix-системах. Расскажу тебе о том, какие вирусы вообще бывают, что они могут натворить, куда прописываются и, естественно, о том, какие меры нужно принять, если у тебя подобный вирь завелся =.
Резидентные и нерезидентные
Вирусы делятся на так называемые резидентные и нерезидентные. Для первых "забивается" нужная для их работы часть памяти, они оставляют свой код или его часть в оперативной памяти. Затем резидентные вирусы осуществляют свою деятельность параллельно другим программам в системе. "А что же такое нерезидентные вирусы?" - спросишь ты и правильно сделаешь =. Отвечаю: нерезидентные вирусы при завершении своей гнусной работы освобождают оперативную память и не оставляют в памяти своего кода. Как видишь, это два взаимно противоположных вида вирусов, и при этом очевидно, что первый тип ака резидентные причиняют больше ущерба твоей ОСевухе. Ну а теперь давай ознакомимся непосредственно с вирусами под Юникс.
Виды вирей
Все вирусы под *nix относятся к New-Exe вирусам. Они бывают следующими:
1. Linux.Bliss
Относятся к нерезидентным вирусам, которые заражают только выполняемые файлы Linux. Написаны на языке GNU C. Linux.Bliss имеют формат ELF и работают, естественно, только в Linux. Когда запускаются, ищут выполняемые файлы в системе и заражают их: сдвигают содержимое файла вниз, записывая себя в освободившееся место и добавляют в конец этого файла следующую строку-идентификатор:
"Bliss.a": infected by bliss: 00010002:000045e4
"Bliss.b": infected by bliss: 00010004:000048ac
Здесь первое шестнадцатеричное число является номером версии вируса, а второе - длина вируса в байтах. При запуске зараженного файла "Bliss.a" ищет не более трех ELF-файлов и записывается в них. "Bliss.b" заражает больше файлов. Если в текущем каталоге все файлы заражены, вирус сканирует другие каталоги системы, ищет выполняемые файлы и заражает их. После заражения "Bliss" возвращает управление файлу-носителю. Он заражает файлы только в тех каталогах, к которым имеет доступ запустивший вирус юзверь. Если же юзер имеет системные привилегии, то вирус может распространиться по всему компу. При работе вирь выводит "отладочные" сообщения.
2. Linux.Winter
Относится к нерезидентным Linux-вирусам. Имеет очень малый размер: каких-то 341 байт. При запуске зараженного файла вирус получает управление, ищет ELF-файлы (выполняемые файлы Linux в текущем каталоге и заражает их. При заражении вирус записывается в середину файла в секцию дополнительной информации о файле (Notes section, если такая присутствует и имеет достаточный размер. Первоначальные данные этой секции оказываются затертыми кодом вируса, однако не влияет на нормальное выполнение программы.
Вирус содержит строки:
LoTek by Wintermute
Вирус также содержит такую фишку, которая изменяет имя хоста (имя компьютера на "Wintermute" =, однако эта процедура никогда не получает управления. В принципе, достаточно безобиден.
3. Linux.Diesel
Неопасный нерезидентный Linux-вирус. Ищет исполняемые Linux-файлы в системных подкаталогах и записывается в их середину. Перед поиском файлов вирь считывает свой бинарный код из файла носителя. Вирус переносит оригинальные байты в конец файла и увеличивает размер последней секции. После завершения работы вирус восстанавливает файл-носитель и возвращает ему управление. Содержит строки текста:
/ home root sbin bin opt
[ Diesel : Oil, Heavy Petroleum Fraction Used In Diesel Engines ]
4. Linux.ZipWorm
Безобидный Linux-вирус, добавляющий свои копии к ZIP-архивам. Заражает архивы только в текущем каталоге. При заражении вирус не использует внешние утилиты работы с ZIP-файлами, а самостоят
да ты мастер копипаста, где такому учат? :
хочу тебе открыть маленький секрет: самый опасный вирус - это кривые руки (пользователя, сисадмина, программиста и др..
Ставьте каспер. только Его можно быстро выгрузить полностью из системы! и прогнать cureit и clamvin портативным!
Остальное iso образы зонтика. И я робот и август можно бесплатно скачать записать и загрузится и прогнать но это долго..вот зуко нортон нужно только ставить и то на месяц или три!
Аваст только теще и начальнику имеет смысл ставить и злой соседке и бывшей
вроде adinf и avz иногда помогают дополнительно
жалко смотреть на муки чайников в окнах! Outpost фаерволл им в помощь..
не без этого. Но как заставить пользователя купить продукт?
Напугать, что без антивируса винда живёт 5 минут при подключении к сети, а потом вирусы, кровь-кишки=распидорасило :
да бы тут никто не спорил,какой именно антивирус лучше,достаточно посмотреть тест видеообзора и сделать для себя вывод - а не тупо бить в грудь и с пеной из-зо рта доказывать что мой антивирус лучше а все говно.
а кто тут думает что можно обойтись без антивируса,не совсем согласен.Опытному юзеру можно обойтись,но не юзеру каторый даже не знает что такое браузер - есть такие.
бизнес - а что ты хотел,придумать программу выдать её в сеть,не заработав ни копейки,видимо вы батенька робин гуд и не любите зарабатывать деньги своим умом.Обзоры делаю не я,там же написано кто - создатель этого сайта http://www.comss.ru
то есть, ты веришь обзорам других людей, которые делают их за деньги?
ты не в курсе видимо, что комментария в интернет-магазинах, статьи, видео и др. сейчас делают за деньги, есть сайты биржы для поиска соискателей подобной работы.
твои слова, как и эти видео о псевдопродуктах и псевдотестах ничем не закреплены и не аргументированы, независимо и безусловно.
мне говно не надо. Мне нужен самый лучший. Вообще такой, что поставил — и никогда, никаких вирусов, что бы систему не грузил вообще, пользователя не трогал. Ну вот лучший нужен, а в тестах одно говно.
Целью операции Windigo, как ее назвали в ESET, было заражение компьютеров под Windows, кликфрод и рассылка спама. Некоторые компоненты Windigo обнаружены сторонними экспертами в предыдущие годы, в том числе бэкдор Ebury. О них сообщалось ранее, но масштаб угрозы недооценивался сообществом специалистов по ИТ-безопасности, ведь бэкдор устанавливался на серверы вручную. Предполагалось, что это единичные случаи таргетированных атак. Никто не мог предположить, что таким способом возможно обработать десятки тысяч серверов. Однако, с момента первого обнаружения бэкдора на kernel.org в сентябре 2011-го прошло уже два с половиной года, а Windigo все еще продолжает приносить прибыль неизвестным злоумышленникам. В июне 2013 года обнаружено 7707 зараженных серверов, в октябре — 12 326, в январе 2014-го — 11 110. С момента начала мониторинга зарегистрировано 26 024 уникальных IP-адреса, инфицированных Ebury, в том числе 3794 новых за последние три месяца.
«Более 35 миллионов спам-писем рассылается ежедневно, — говорит специалист по безопасности Марк-Этьен Левейе (Marc-Étienne Léveillé. — Что еще хуже, каждый день более полумиллиона компьютеров подвергаются риску заражения, поскольку подключаются к серверам, где установлены компоненты Windigo, перенаправляющие пользователей на страницы с эксплойт-паком».
Компания ESET подготовила технический отчет (зеркало и индикаторы проникновения, которые помогут системным администраторам обнаружить бэкдор на своих серверах. В случае с Ebury проще всего использовать следующую команду.
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
После обнаружения бэкдора желательно переустановить систему и сменить пароли.
Как ты видишь, тему *nix и все, что с ними связано, Хакер в последнее время затрагивает очень хорошо. Не будет исключением и данная статья, где я поговорю с тобой о не слишком известных, но все же существующих вирусах в *nix-системах. Расскажу тебе о том, какие вирусы вообще бывают, что они могут натворить, куда прописываются и, естественно, о том, какие меры нужно принять, если у тебя подобный вирь завелся =.
Резидентные и нерезидентные
Вирусы делятся на так называемые резидентные и нерезидентные. Для первых "забивается" нужная для их работы часть памяти, они оставляют свой код или его часть в оперативной памяти. Затем резидентные вирусы осуществляют свою деятельность параллельно другим программам в системе. "А что же такое нерезидентные вирусы?" - спросишь ты и правильно сделаешь =. Отвечаю: нерезидентные вирусы при завершении своей гнусной работы освобождают оперативную память и не оставляют в памяти своего кода. Как видишь, это два взаимно противоположных вида вирусов, и при этом очевидно, что первый тип ака резидентные причиняют больше ущерба твоей ОСевухе. Ну а теперь давай ознакомимся непосредственно с вирусами под Юникс.
Виды вирей
Все вирусы под *nix относятся к New-Exe вирусам. Они бывают следующими:
1. Linux.Bliss
Относятся к нерезидентным вирусам, которые заражают только выполняемые файлы Linux. Написаны на языке GNU C. Linux.Bliss имеют формат ELF и работают, естественно, только в Linux. Когда запускаются, ищут выполняемые файлы в системе и заражают их: сдвигают содержимое файла вниз, записывая себя в освободившееся место и добавляют в конец этого файла следующую строку-идентификатор:
"Bliss.a": infected by bliss: 00010002:000045e4
"Bliss.b": infected by bliss: 00010004:000048ac
Здесь первое шестнадцатеричное число является номером версии вируса, а второе - длина вируса в байтах. При запуске зараженного файла "Bliss.a" ищет не более трех ELF-файлов и записывается в них. "Bliss.b" заражает больше файлов. Если в текущем каталоге все файлы заражены, вирус сканирует другие каталоги системы, ищет выполняемые файлы и заражает их. После заражения "Bliss" возвращает управление файлу-носителю. Он заражает файлы только в тех каталогах, к которым имеет доступ запустивший вирус юзверь. Если же юзер имеет системные привилегии, то вирус может распространиться по всему компу. При работе вирь выводит "отладочные" сообщения.
2. Linux.Winter
Относится к нерезидентным Linux-вирусам. Имеет очень малый размер: каких-то 341 байт. При запуске зараженного файла вирус получает управление, ищет ELF-файлы (выполняемые файлы Linux в текущем каталоге и заражает их. При заражении вирус записывается в середину файла в секцию дополнительной информации о файле (Notes section, если такая присутствует и имеет достаточный размер. Первоначальные данные этой секции оказываются затертыми кодом вируса, однако не влияет на нормальное выполнение программы.
Вирус содержит строки:
LoTek by Wintermute
Вирус также содержит такую фишку, которая изменяет имя хоста (имя компьютера на "Wintermute" =, однако эта процедура никогда не получает управления. В принципе, достаточно безобиден.
3. Linux.Diesel
Неопасный нерезидентный Linux-вирус. Ищет исполняемые Linux-файлы в системных подкаталогах и записывается в их середину. Перед поиском файлов вирь считывает свой бинарный код из файла носителя. Вирус переносит оригинальные байты в конец файла и увеличивает размер последней секции. После завершения работы вирус восстанавливает файл-носитель и возвращает ему управление. Содержит строки текста:
/ home root sbin bin opt
[ Diesel : Oil, Heavy Petroleum Fraction Used In Diesel Engines ]
4. Linux.ZipWorm
Безобидный Linux-вирус, добавляющий свои копии к ZIP-архивам. Заражает архивы только в текущем каталоге. При заражении вирус не использует внешние утилиты работы с ZIP-файлами, а самостоят
хочу тебе открыть маленький секрет: самый опасный вирус - это кривые руки (пользователя, сисадмина, программиста и др..
Ставьте каспер. только Его можно быстро выгрузить полностью из системы! и прогнать cureit и clamvin портативным!
Остальное iso образы зонтика. И я робот и август можно бесплатно скачать записать и загрузится и прогнать но это долго..вот зуко нортон нужно только ставить и то на месяц или три!
Аваст только теще и начальнику имеет смысл ставить и злой соседке и бывшей
вроде adinf и avz иногда помогают дополнительно
жалко смотреть на муки чайников в окнах! Outpost фаерволл им в помощь..
win: outpost security suite pro, антивирь включается по требованию
+ внимательность для обеих систем
Зодрал спамом.
Напугать, что без антивируса винда живёт 5 минут при подключении к сети, а потом вирусы, кровь-кишки=распидорасило :
ты не в курсе видимо, что комментария в интернет-магазинах, статьи, видео и др. сейчас делают за деньги, есть сайты биржы для поиска соискателей подобной работы.
твои слова, как и эти видео о псевдопродуктах и псевдотестах ничем не закреплены и не аргументированы, независимо и безусловно.
а самому слабо сделать тесты? :
я всем ставлю продукты ESET и все счастливы, за 2 года жалоб на вирусы нет. ты хоть зафлуди тут все своими тестами :