Новый троян для Linux селится в видеокарте и переживает перезагрузку

Вирусописатели продемонстрировали концепт нового руткита под названием Jellyfish. Главной инновационной особенностью этого зловреда является его способность использовать для работы процессор видеокарты (GPU) и жить в оперативной памяти видеоускорителя.

Jellyfish trojan

ПМЖ в видеокарте обеспечивает Jellyfish полную невидимость. По словам специалистов по информационной безопасности, на сегодняшний день не существует антивирусных инструментов, которые могли бы обнаружить вредоносные объекты в видеопамяти, не говоря уже о лечении компьютера.

После того, как на компьютер жертвы устанавливается Jellyfish, вредонос начитает перехватывать нажатия клавиш в поисках паролей и использовать GPU для генерации криптовалют. Разработчики обещают, что скоро функциональность руткита будет расширена.

Самой зловещей способностью Jellyfish является возможность пережить выключение компьютера. Вредоносный код будет сохранен и получит управление при следующем включении. Как это реализовано пока не сообщается, ведь на видеокартах установлена обычная ОЗУ типа DDR, которая теряет хранимые данные при обесточивании. Тем не менее, вирусописатели сообщают, что нашли способ сохранить тело руткита в видеокарте. Таким образом, лечение жесткого диска не поможет, а инструментов для борьбы с вирусами в видеопамяти не существует. Получается, что гражданин, поймавший на компьютер Jellyfish, должен будет некоторое время смириться с кражей своих паролей и нецелевым использованием компьютера.

Удивительно, но Jellyfish предполагается распространять под свободной лицензией (уже сейчас можно найти исходный код на GitHub). Другой особенностью руткита — и весьма забавной — является зависимость от библиотеки OpenCL, которая используется для доступа к базовым функциям видеоускорителей от Nvidia и AMD. Если на компьютере эта библиотека не установлена, либо используется ускоритель другой фирмы, Jellyfish работать откажется.

Как защитить свой компьютер от установки Jellyfish?
Ваша оценка: Нет Средняя оценка: 5 (2 votes)
11
pomodor

Еще одна причина не подключать репозитории третьей стороны, что так любят делать убунтоиды. Из-за доступности исходного когда, сейчас половина программ в сторонних репозиториях будет засрана этим Jellyfish.

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
a

спасибо за инфу, полез чистить репы.. Звучит конечно почти нереально, надо побольше узнать про вирус, интересно вглянуть на исходник если будет возможность.

Ваша оценка: Нет
11
pomodor

Возможность уже есть. Ищите Jellyfish на GitHub. Прямую ссылку не даю по идейным соображениям.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Звучит как первомайский розыгрыш.

Ваша оценка: Нет
a

с одной стороны вы правы, другой это просто дикое ограничение. Есть куча софта сторонних производителей, которые делают интересные программы. Мне нравится myTetra например, хотя в чемто уступает cherrytree, мне с ней удобней работать, лучше вставка из html файла. Нашел также заменитель irfanviewer, не такой монстр как gimp (правда забыл как называется, пишу из винды с работы :). Да много чего, причем репы тоже не спасают, через .deb или тарболл тоже можно так же легко словить этот вирус. Вообще отказаться от стороннего софта это как в винде пользоватся только IE для интернета :)

Ваша оценка: Нет Средняя оценка: 2 (1 vote)
11
pomodor

Я не очень точно выразился. Не отказываться от репозиториев третьей стороны, а внимательно проверять их перед использованием. И любое подключение чего-то внешнего должно быть оправдано. Я, например, подключаю внешние репозитории для R. Я могу точно назвать причину, по которой мне это понадобилось. Могу назвать номер штатной версии, номер в репозитории и те новые функции, из-за которых я это делаю. Перед подключением, я проверю: правда ли адрес репозитория указывает на официальный источник пакетов. Если все в порядке, можно подключаться. Но меня поражают убунтоиды, которые не глядя копипастят код из статей. В лучшем случае они получат нестабильное поведение системы, а в худшем — троян и потерю всех данных.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
9
comrade

Тоже хотел написать, что к репозиторию самих авторов какой-либо программы всё-таки есть определённое доверие – вряд ли они будут "гадить где живут".

Если постоянно пользуешься какой-то программой, хочется её исправленную версию, с новыми возможностями. Не менять же из-за этого дистрибутив, если всё остальное устраивает и отлично настроено!

Правда, чем больше источников подключено, тем больше риск, что когда-то один из источников ломанут, и выложат каку вместо обновления.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
4

сорри, я хотел Texnoline ответить, получилось автору поста. Конечно проверка адреса нужна, я тоже если вижу ссылку на пакет, пытаюсь зайти сначала к автору на страницу и скачать оттуда, а репы проверять и подключать только в крайнем случае. Кстати графический редактор который заменил мне irfanviewer называется XnView кому интересно.

Ваша оценка: Нет
4
freecold

Ну во первых ещё ничего не работает, есть идея и наброски кода. И как сама команда x0r1 говорит — мы наблюдаем за тем что из этого может получиться. Теоритически да можно создать такой руткит — но на деле ничерта не получается.
А сам проект создан для своевременного предупреждения, что такое вообще возможно и надо думать сейчас что с этим делать. Правда практика показывает что "вирусов-живых" под линукс нет.

Интересно и то что под Вантузы уже есть релиз (только по исходникам я так понял он под cuda написан — из этого следует что работает он только с видеокартами nvidia)

PS^ А в Linux пока вообще не идёт речь об угрозе:) так что спите спокойно(пока).

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
11
pomodor

Работает. Но за выкладывание вредоносного кода ФБР запросто за яйца может взять. А так гражданин разместил на GitHub рекламу, а дальше покупатели этой гадости будут писать в личку и приобретать действующий образец.

Ваша оценка: Нет
a

И поэтому выложен релиз под Вантуз :)
А на бяки под винду ФСБ закрывает глаза(это вантуз)? =)))

Ваша оценка: Нет Средняя оценка: 4 (2 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.