Вирусописатели пробуют свои силы в Linux

Аналитики из компании «Лаборатория Касперского» обнаружили концептуально новый вид вредоносного ПО для Linux. Вирус, получивший название «Rootkit Linux Snakso-A» по внутренней классификации, заражает Linux-системы на уровне ядра, подменяя вывод веб-серверов. Таким образом, все веб-сайты, размещенные на зараженном сервере, оказываются опасными для своих посетителей. Веб-сервер работает в обычном режиме, только в отправляемые пакеты на низком уровне вставляются специальные теги «iFrame», в которых спрятаны ссылки для скрытой загрузки вредоносного контента.

По имеющимся данным, новый вирус поражает 64-битные системы с ядром kernel 2.6.32-5-amd64 и популярным веб-сервером Nginx. Размер исполняемого файла, обнаруженного в «диком виде», составляет около 500 Кбайт, но специалисты оправдывают такой неестественно большой размер тем, что пока вирус скомпилирован с включением всей отладочной информации. Опасность заключается в том, что администратор сервера практически не имеет возможности определить наличие «закладки» на своем сервере. Под угрозой оказываются пользователи, заходящие на сайты, которые обслуживаются зараженной машиной. Каждый раз при заходе на такой сайт они получают дополнительно скрытые ссылки, которых нет в выводе веб-сервера. Фактически, вирус подменяет исходящие TCP-пакеты, отправляемые посетителям веб-сайтов.

Исследователи считают, что сейчас обнаруженный вирус находится на ранней стадии развития. Ряд функций в нем реализован не полностью, а некоторые функции еще предстоит увидеть в действии. В какой-то мере его можно считать прототипом будущего серверного супервируса. Сам по себе вирус не распространяет вредоносный контент — эта задача возложена на вспомогательные серверы, размещенные где-то еще. Еще один признак необычной сложности вируса — связь с управляющим сервером осуществляется с использованием шифрованного пароля.

Механизм внедрения iframe-тегов оказался довольно интересным. Вирус не затрагивает уязвимости в Java, Flash, в веб-серверах и других технология. Вместо этого фреймы внедряются прямо в исходящий HTTP-трафик за счет подмены системной функции «tcp_sendmsg».

Дополнительный анализ вируса Snakso-A провела британская компания CrowdStrike. По заявлению британских специалистов, высока вероятность применения этого вируса на сайтах, которые часто посещаются сотрудниками тех или иных организаций, как часть кампании по шпионажу. Также вирус может применяться в атаках типа «водопой», где выбранные жертвы без опаски заходят на проверенный ресурс, уже зараженный злоумышленниками.

По мнению экспертов компании Crowdstrike, вирус мог быть создан на заказ программистами из России, причем программистами среднего уровня без глубоких знаний в работе с ядром Linux. На российское происхождение указывают инструменты и методы, использованные при создании вируса, а также некие факторы, которые компания Crowdstrike отказалась раскрыть.

Ваша оценка: Нет Средняя оценка: 3.8 (4 votes)
9
comrade

Так вирус, или всё же закладка?
Сам распространяется, или кто-то должен ручками сервер "заминировать"?
Почему-то этот (маловажный;-) вопрос обойдён вниманием в статейке...

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
8

Похоже, что это именно вирус, который заражает другие компьютеры и превращает установленные на них копии nginx в дальнейшие его распространители.

Кстати, никто не подскажет, где купить антивирус для Linux? Желательно подороже и потормознее -- говорят, такие самые эффективные.

Ваша оценка: Нет Средняя оценка: 4 (3 votes)
9
comrade

Почитал, что-то не нашёл подтверждения, что это вирус.
Что он делает с трафиком – описывают. А что он может сам распространяться – нет.

__________________
Я помню вирус – который на роутеры с линуксами и стандартными паролями залезал. Было такое.

Вот с роутерами, мне думается, проблемка есть – там же линукс автоматически не обновляется, т.е., через какую-нибудь неисправленную уязвимость можно бяку ожидать.
(Обычно фраза "я тут поднял свой домашний сервачок" вызывает улыбку, но получается, что зерно истины в этом есть, ну и сноровка-тренировка, конечно.)
А роутеры остаётся только регулярно перепрошивать, пока их автообновляемыми не сделали. Правда перепрошивка тоже черевата неожиданностями((:

Ваша оценка: Нет
a

Вот касперыч старается.сами пишем.сами внедряем.сами лечим)

Ваша оценка: Нет Средняя оценка: 4.3 (4 votes)
a

Ну чушь же, ну. Доказательства есть у тебя? Доказательств нет. Это все равно, что обвинить разработчиков линукса в вирмейкерстве под винду. Ведь чем больше вирусов и глюков на винде, тем больше народу пойдет искать альтернативы.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
a

Сам искал такую альтернативу.но к сожалению.ни один дистрибутив не смог дотянуть до уровня винды.вездесущий примитив.или полная безвкусица вроде ubuntu ultimate edition.продолжают ваять 9 тысячь криворуких поделок,а жаль.значит винда форево((

Ваша оценка: Нет Средняя оценка: 1 (5 votes)
a

Это ты не смог дотянуть до уровня пользователя ПК.

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
7
YOOnix

Искать и пробовать - это одно, а вот поставить себе задачу - "Я перехожу на Linux и всё" - это совсем другое. Я как-то давным давно тоже долго не мог привыкнуть к Пингвину после долголетнего пользования Мастдаевской ОС, но сейчас всё норм.

Ваша оценка: Нет
9
comrade

Иногда переход совершается естественным путём.

Списал подружке xubuntu-wubi второй системой к XP.
Линукс у меня уже был хорошо и удобно настроен
(а то часто "привыкание" – это время на то, чтобы разобраться – как тут всё удобно для себя настроить:-)

Она попробовала, попробовала:
навыки работы те же,
система грузится и программы запускаются заметно быстрее, работает отзывчивее,
автоматические обновления ставятся незаметно, а не как в виндовсе (где ещё и у кучи программ свои авто-обновлялки параллельно работают),
Из интернета всякие "бары" и "полезнейшие программы" не устанавливаются, не засирают систему.
Спросила – есть ли графический редактор со слоями... Пожалуйста – вот Gimp, вот Pinta. Вполне подошли.

Так ей в итоге линукс просто понравился больше, и она на линукс переехала без всяких волевых усилий, сравнила – там лучше, и отлично.

Уже своим подругам похвасталась – одна так сразу ухватилась за идею, просится ко мне с ноутбуком за линуксом, а то виндовс у неё подолгу не живёт (похоже девушка любит куда не надо в интернете походить;-)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

Вот только сегодня.надеюсь не сглазить наткнулся на дистр.который не стыдно включать.жаль он уже не поддерживается.а сделан он на основе убунты 11.04.и написали его сотрудники журнала CHIP.Называется он SIALIA(СИНЯЯ ПТИЦА)вот это я понимаю.настраиваемость из коробки.стыдно должно быть каноникал за свою кривоногую убунту!

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
9
comrade

Странно, а сделан на основе "кривоногой убунты"... ((-;

Кстати, у убунты 11.04 как раз недавно закончились все полтора года поддержки. Дальше обновления для этой "СИНЕЙ ПТИЦЫ" будут выпускаться силами сотрудников журнала CHIP?

Ваша оценка: Нет
a

Наверно.там есть раздел с поддержкой.и работает шустрее чем убунта.жаль не выпускают ничего нового

Ваша оценка: Нет
a

Вы были правы.это именно интегра.просто обоина с логотипом чипа.ввела в заблуждение.они просто распространили его с одним номером журнала.прошу прощение за неточность

Ваша оценка: Нет
a

Может ты и прав.но ведь даже жить в квартире с оборваными или криво поклееными обоями тоже неприятно.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
О Либератуме

Liberatum — это новости мира дистрибутивов Linux, обзоры, сборки, блоги, а также лучший сайт об Ubuntu*.