Архивы: по дате | по разделам | по авторам

Три требования вирусописателей

Архив

автор : Денис Зенкин 24.07.2001

Первые десять дней июля я провел вдали от Москвы, в командировке, а вернувшись - обнаружил в своем почтовом ящике два письма со статьями о вирусах под Linux, написанных спецами из «Лаборатории Касперского» и «ДиалогНауки». Выяснилось, что в мое отсутствие Максим Отставнов подменил меня на посту редактора SoftТерры и поднял тему безопасности Linux, заказав соответствующие материалы. Поскольку статьи чем-то дополняли друг друга, чем-то - дублировали, я взял на себя смелость скомпилировать их в единый разворот для журнальной версии, полные же варианты обеих статей вы сможете прочесть на сайте www.softerra.ru в разделе «Linuxоид». Итак: есть ли жизнь на Мар… то есть - есть ли вирусы под Linux? Оказывается, есть. Более того: на горизонте маячит угроза Linux-эпидемий, которая может доставить отвыкшим от вирусов пользователям Linux те же удовольствия, которые практически ежедневно испытывают пользователи Windows…
Сергей Scout Кащавцев

Вы зачем Linux поставили? Чтобы на безопасности сэкономить? Еще надеетесь?.. Полгода назад в этом, может, и был смысл. Тогда, помнится, сообщение об очередной вредоносной программе для Linux было событием редким и представлявшим интерес разве что для узкого круга специалистов: вот, мол, есть такой-то вирус, в диком виде не обнаружен и вообще вряд ли на что-то способен - этакий экземпляр для коллекционеров неосуществленных идей. За более чем восемь лет существования операционной системы Linux было обнаружено всего около пятидесяти вирусов для нее, и ни один из них не вызвал необратимого заражения компьютеров.

Однако возмутителя спокойствия пришлось ждать недолго. В конце января сего года появился Интернет-червь Ramen, поначалу тоже казавшийся очередным экземпляром в коллекцию, но спустя несколько недель случилось Событие: Ramen стал первой вредоносной программой для операционной системы Linux, обнаруженной в «диком виде». При этом в малоприятные списки «инфицированных» попали даже такие солидные организации, как Национальная администрация по аэронавтике и космосу США (NASA), Техасский университет A&M и тайваньский производитель компьютерного оборудования Supermicro.

Всё. «Коллекционирование» закончилось, начался отсчет эпохи «линуксовой заразы». Один за другим поползли по Интернету черви Lion, Adore и другие модификации Ramen, использовавшие уже известные бреши в системе безопасности Linux, в частности, дыру в пакете программ BIND (Berkeley Internet Name Domain), обнаруженную и закрытую еще в 1998 году, - но закрытую-то не везде… Потом «в диком виде» появился Cheese - эдакий червь-благотворитель, действующий как заплатка для компьютеров, взломанных в свое время Ramen.

Бояться, что теперь Linux-вирусы пойдут на пользователя стройными рядами, конечно, не надо, по популярности среди вирусописателей Windows по-прежнему «впереди планеты всей». Но и бдительность терять не стоит. В принципе, для того, чтобы конкретная операционная система или приложение стали действительно популярными у вирусописателей, они должны отвечать трем требованиям: во-первых, быть документированными, так как для создания вируса необходимо знать максимум подробностей об особенностях работы программы; во-вторых, быть недостаточно защищенными (прежде всего, это подразумевает наличие брешей в системах безопасности, а также возможность создания саморазмножающихся и самораспространяющихся объектов); и в-третьих, они должны быть популярными. До недавнего времени Linux не удовлетворяла только последнему условию…

Сегодня Linux стала одним из стандартов для файловых серверов и серверов приложений. Вместе с тем она завоевывает все большую популярность и в качестве настольной операционной системы. Скорее всего, именно это станет причиной еще большего распространения вредоносных кодов для Linux, поскольку, с одной стороны, большинство конечных пользователей просто не способны корректно настроить систему защиты от внешних вторжений, а с другой - создатели вирусов смогут в массовом порядке использовать метод социального инжиниринга для проникновения на компьютеры (именно этот метод предопределил широкое распространение таких «громких» Интернет-червей, как LoveLetter и Anna Kournikova).

Существует и другая опасность - так называемые кроссплатформные вирусы, способные существовать не только в среде Linux. А значит, следует тщательно проверять и Linux-файлы, и файлы для других ОС.

Вообще же, говоря о будущих Linux-вирусах, можно выделить несколько характерных для них черт: использование брешей в системе безопасности, использование технологий распространения по электронной почте и Интернету, внедрение систем несанкционированного контроля (backdoor) и использование технологии заражения проходящего почтового трафика на уровне сервера.

Впрочем, вендоры антивирусных продуктов уже давно не оспаривают уязвимости Linux. Осталось дождаться, когда необходимость ее защиты осознают и массовые пользователи. Хочется верить, что «объясняться в любви» для этого не потребуется.

AVP для Linux
Doctor Web для Linux/FreeBSD
Cамые опасные Linux-вирусы

[i40428]

AVP для Linux

«Лаборатория Касперского» первой в мире представила интегрированную систему полномасштабной антивирусной защиты для Linux в начале 1999 года. Антивирус Касперского предоставляет широкий спектр технологий борьбы с вирусами и может использоваться на рабочих станциях, файловых серверах и серверах приложений, в том числе в почтовых шлюзах Sendmail, Qmail, Postfix и Lotus Notes/Domino. Вдобавок в продукт интегрирована технология распознавания неизвестных вирусов, а также включена загрузочная система Rescue Kit, предназначенная для восстановления работоспособности компьютера, пораженного вирусами.

Doctor Web для Linux/FreeBSD

«ДиалогНаука» выпустила антивирусный пакет Doctor Web для Linux/FreeBSD в апреле 2001 года. В его состав входят программа-демон DrWebD и программа-сканер DrWeb.

Демон DrWebD может использоваться практически в любых схемах обработки данных в качестве подключаемого внешнего антивирусного фильтра. Hапример, почтовые системы (Sendmail, Qmail и другие) могут быть легко и гибко настроены на использование демона DrWebD для проверки сообщений, проходящих через почтовый сервер. В комплект поставки входит описание настроек и исходные тексты программных клиентов, демонстрирующие технологию взаимодействия с демоном DrWebD.

DrWeb реализует те же функции, что и другие сканеры из семейства DrWeb32, и запускается из командной строки. Получить его ознакомительную Linux-версию можно на FTP-сервере фирмы «ДиалогНаука».

Максим Скида
[antivir@DialogNauka.ru]

Cамые опасные Linux-вирусы

Linux.Ramen. Опасный Интернет-червь, атакующий серверы под управлением операционных систем Red Hat Linux 6.2 и 7.0. Первые сообщения о нем пришли из стран Восточной Европы. Для размножения червь использует некоторые слабые места (vulnerabilities) в приложениях Washington University’s ftp server (wu-ftpd) и Remote Procedure Call stat server (rpc.statd) для Red Hat Linux 6.2 и LPRng (lpd) для Red Hat Linux 7.0.

Указанные приложения обычно по умолчанию инсталлируются при установке операционной системы Red Hat Linux и без соответствующих заплаток безопасности (security patches) уязвимы для атаки червя.

Червь представляет собой архив с именем ramen.tgz, содержащий 26 различных исполняемых файлов и shell-скриптов. Каждый исполняемый файл хранится в архиве в двух экземплярах: скомпилированный для запуска в Red Hat 6.2 и 7.0. Также в архиве содержится исполняемый файл с именем wu62, который при работе червя не используется.

При старте червь устанавливает на tcp-порт 27374 небольшой HTTP-сервер, на любой запрос отдающий основной файл червя ramen.tgz. Далее начинает работу скрипт start.sh, который определяет версию операционной системы RedHat по наличию или отсутствию файла /etc/inetd.conf, копирует бинарные файлы, скомпилированные в соответствии с версией системы, в файлы с именами, используемыми в дальнейшем для запуска из его скриптов, а затем запускает в фоновом, непрерываемом режиме три свои основные части:

сканирование методом synscan подсетей класса В и определение активных хостов с Red Had Linux 6.2/7.0. Сканирование происходит в два этапа: сначала через запуск соответствующего исполняемого файла получается случайный адрес подсети класса B, а затем, через запуск другого файла, последовательно сканируются все хосты в этой подсети. Червь пытается соединиться с портом 21 (ftp) и найти некоторые подстроки в строке приветствия, выдаваемой ftp-сервером. Ramen ищет фразу «Mon Feb 28», которая якобы принадлежит Red Hat 6.2, или «Wed Aug 9», принадлежащую Red Hat 7.0;
попытку атаки на найденный хост через уязвимость в rpc.statd;
попытку атаки на найденный хост через уязвимость wu-ftpd и lpd.

При успехе одной из этих атак на атакуемом сервере выполняются следующие операции:

создается каталог /usr/src/.poop;
запускается текстовый браузер lynx с указанием соединиться с атакующим сервером на порт 27374 и сохранить всю информацию, отданную сервером, в файл /usr/src/.poop/ramen.tgz;
полученный файл с червем копируется в /tmp и распаковывается;
запускается стартовый файл червя start.sh;
на e-mail-адреса gb31337@hotmail.com и gb31337@yahoo.com отправляется сообщение с темой, содержащей IP-адрес атакованной машины, и телом письма: «Eat Your Ramen!».

Далее червь ищет в системе все файлы с именем index.html и заменяет их содержание на html-код, выводящий на экран следующий текст: «RameN Crew. Hackers looooooooooooooooove noodles».

Затем червь удаляет файл /etc/hosts.deny для отмены всех запретов на соединения и получает вызовом своего shell-скрипта IP-адрес атакованной машины, копирует свой HTTP-сервер в файл /sdin/asp, прописывает его вызов путем задания соответствующих настроек в /etc/inetd.conf для RedHat 6.2 или в /etc/xinetd.d для Red Hat 7.0 и переинициализирует сервис inetd/xinetd для запуска своего HTTP-сервера.

Для предотвращения повторных атак на данную систему вирус удаляет уязвимые сервисы:

в файл /etc/ftpusers добавляются две записи: «ftp» и «anonymous», что запрещает анонимный ftp-доступ и блокирует дыру, используемую червем для атаки на wu-ftpd;
для Red Hat 6.2 сначала из памяти, а затем и с диска удаляются сервисы rpc.statd и rpc.rstatd;
для Red Hat7.0 из памяти, а затем с диска удаляется сервис lpd.

Далее червь прописывает вызов своего start.sh в /etc/rc.d/rc.sysinit, что позволяет ему повторно активизироваться при каждой загрузке системы. При кажущейся безвредности червь чрезвычайно опасен, так как нарушает нормальное функционирование сервера: работа http-сервера будет нарушена уничтожением содержимого всех index.html-файлов, анонимный ftp-доступ к серверу будет запрещен, cервисы rpc и lpd будут удалены, ограничения доступа через hosts.deny будут сняты.

Червь использует в своем коде многие слегка модифицированные разработки, ранее доступные на хакерских сайтах, а также на сайтах, посвященных сетевой безопасности.

Cледует отметить, что червь использует при атаках дыры, самая свежая из которых известна с конца сентября 2000 года. Однако то, что при инсталляции системы на нее устанавливаются уязвимые сервисы, а многие пользователи и администраторы не производят должный мониторинг предупреждений о слабых местах системы и вовремя не устраняют их, делает червя крайне жизнеспособным: в настоящее время зафиксированы многие случаи предпринятых им атак, закончившихся успехом.

Linux.Adore. Очень опасный Интернет-червь. Является компиляцией вирусов Linux.Ramen и Linux.Lion, использует для своего распространения те же слабые места в различных сервисах, что и упомянутые вирусы. Как и Linux.Lion, оставляет в системе «черный ход» для удаленного несанкционированного доступа к ней с привилегиями администратора.

Максим Скида
[antivir@DialogNauka.ru]