Visite também: UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org ·  [mais] ·  Efetividade ·  Linux in Brazil ·  Floripa  

Newforge analisa o vírus multiplataforma da Kaspersky

Dando continuidade à sua análise do que já foi descrito como um 'vírus não-viral' que seria capaz de operar tanto em ambientes Linux quanto em ambientes Windows, a Newsforge obteve uma cópia do vírus e testou-o em laboratório. Os resultados? A versão presente em um arquivo executável para Windows (mesmo rodando sobre o Wine) foi capaz de infectar alguns executáveis nativos de Linux (more, date e ls) em formato ELF, e estes programas tornaram-se capazes de infectar outros executáveis gravados no mesmo diretório - desde que fossem rodados por um usuário com permissão de escrita sobre eles. Os mesmos testes, realizados em outras condições (versões de kernel diferentes) falharam em produzir infecções.

Consultado sobre os testes, Linus Torvalds comentou que na realidade o que este programa faz de incomum é ser capaz de operar nativamente em Linux e Windows - fora isso, ele realiza operações triviais, como escrever em arquivos para os quais seu dono tenha permissão de escrita - o que não torna impossível que uma versão mais insidiosa seja escrita, capaz de infectar arquivos fora de seu próprio diretório e com algum apelo que leve o usuário incauto a executá-la com privilégios de root.

Comentários dos leitores

Os comentários abaixo são responsabilidade de seus autores e não são revisados ou aprovados pelo BR-Linux. Consulte os Termos de uso para informações adicionais. Esta notícia foi arquivada, não será possível incluir novos comentários.
Comentário de Roger de Almeida
A investigação meciona o: A investigação meciona o êxito do "virus" usando o Umbutu compilado para i386 mas como a própria notícia coloca, em outras condições o programa CLT.EXE, que diga-se de passagem, é executado sob o WINE, falha, ou seja, não consegue produzir o mesmo efeito.

A questão é simples: O programa consegue alocar uma rotina dentro de programas compilados nativamente para Linux, desde que tenha permissão para isso.

Mas porque é trivial? É trivial porque você pode abrir um arquivo num editor e gravar algo dentro, desde que tenha permissão. Em outras palavras, o que o CLT.EXE faz é uma abstração da realidade. No entanto, ele tem a habilidade de se alocar em áreas de um programa compilado para Linux e para Windows mas sem afetar o seu funcionamento.

Mas o lado bom dessa história, é que estamos diante de uma nova forma de lidar com as pragas virtuais. Enquanto o windows é atormentado e muitas vezes com prejuízo para o usuário, no Linux estamos debatendo, estudando, investigando as reais possibilidades, dando subsídios importantes para bloquear ou tornar o Linux mais hostil ainda aos vírus e etc.

Enquanto isso, aqueles "gerentes de TI" de senso comum, vão pegar a notícia e estampar para todos: "Estão vendo?? Tem virus sim para esse tal de linux".

Estou dizendo isso, pois conversando com um professor de um curso de sistemas, queria me provar por A + B, que tinha provas que o Linux era mais caro, menos estável e etc, pois um amigo dele, recebeu um e-mail da MS com o famigerado "Get the Facts". E olha que são da área de TI da Caixa.

Eu fiquei tão pasmo que me deu dor de cabeça. Não dava para acreditar que pessoas "esclarecidas", estavam baseando suas afirmações sem investigar....... Eta senso comum!!!!!

Ai tive de apelar: "Por acaso se você montasse uma padaria, iria dizer aos seus clientes que o pão da padaria ao lado é melhor que o seu??? Colocaria um cartaz: O Meu pão é dormido e contém bromato??"........ A resposta foi um silêncio profundo!!!


[]
Roger










Comentário de yamane
Vírus para Linux que roda sobre o Wine? E porque Trivial?: 1) Isso é um vírus para Linux (e para Windows também), mas precisa do Wine para ser executado?

2) O Sr. Torvalds bebeu? Desde quando é trivial executar um arquivo e ele sair deixando rastros em vários outros executáveis?

Um abraço,
Renato
Comentário de Roger de Almeida
Renato,: Renato,

1). O programa CLT.EXE precisa do wine para ser executado.

2). É trivial pois o programa faz nada mais que escrever uma rotina dentro de outro arquivo. Não importa se o arquivo é executável ou não. Contudo, o fato relevante é a habilidade de escrever tanto em executáveis do Linux (ELF) como do windows.

Quem é programador e mais ainda aqueles trabalham em baixo nível, entende perfeitamente o que o Linus quis dizer.

[]
Roger
Comentário de Copernico Vespucio
vírus + exploit = ?: Acrescente ao vírus, em uma versão mais sofisticada, um exploit de buffer-overflow capaz de executar comandos como root e vc. aumentará o poder do vírus em muitas máquinas.

Para evitar coisas assim, creio que a segurança do wine precisa ser melhorada, limitando a sandbox com restrições de segurança dentro da qual o programa emulado deve funcionar.
Comentário de
Não precisa do Wine: Renato, no laboratório eles usaram o Wine para testar o componente do vírus que normalmente funcionaria em ambientes Windows.

Os arquivos nativos para Linux que foram infectados não precisam do Wine para agir.
Comentário de CaioCaFe
Wine: Lembro apenas que o wine é um programa! Você pode simplesmente não te-lo instalado na sua máquina. Além disso o virus precisaria da senha do root e de um wine bem configurado!!!
Comentário de yamane
Não há como impedir essa trivialidade?: OK, se isso é trivial, não há como impedir que isso ocorra?
É um tanto assustador conviver com essa trivialidade, pois isso foge do contexto "segurança" tão disseminado no mundo Linux.
Vo ler com mais calma o artigo, mas a princípio o que eu ahcei dessa história toda foi:
- No Windows: Isso é considerado um bug, uma falha no sistema, uma brecha de segurança, enfim...
- No Linux: Ahhh, isso é trivial.
Um abraço,
Renato
P.S. Eu uso Linux a 2 anos e não voltaria a utilizar o Windows.
Comentário de brain
o que é trivial e o que não é: Renato, o que é trivial aí é esta operação de um arquivo executável escrever em outros a que seu dono tenha acesso. Isso não é uma falha ou bug, é simplesmente o sistema operando normalmente. E não, não há como impedir essa trivialidade.

A existência de vírus não é trivial. Mas este vírus, especificamente, não tira proveito de nenhuma técnica não-trivial, vulnerabilidade ou bug. Seja na sua "encarnação" baseada em Windows, seja na baseada em Linux.

Comentário de brain
este programa não precisa do Wine: O Wine foi usado no laboratório para testar a versão do vírus para Windows.
Comentário de yamane
Será que eu entendi direito?: Tentando ver se eu entendi:
Esse "vírus" na verdade não é vírus! Ele não faz absolutamente NADA (apenas coloca alguns caracteres em outros arquivos - seja executável ou não).
Esses executáveis com caracteres inseridos pelo "vírus" não comprometem o sistema. Correto?
Futuramente, ao ser descoberta alguma vulnerabilidade no Linux, esse "vírus" poderia ser implementado a explora-las.
Correto?
Comentário de brain
Malware: Definitivamente é um malware - é um vírus, ou um cavalo de tróia. Mas é um malware que causa pouco estrago, talvez intencionalmente - ele foi construído para demonstrar o conceito de código malicioso nativo multiplataforma.

Este mesmo conceito, ou as técnicas de infecção empregadas, podem ser usadas em outros vírus com características mais perigosas, sim. Mas estas técnicas não se aproveitam de falhas ou vulnerabilidades que possam ser "corrigidas", a defesa contra vírus desta categoria (caso eles venham a surgir e se espalhar) são as boas práticas de administração e uso de sistemas, e eventualmente um bom antivírus.

É diferente dos vírus que se aproveitam de situações não triviais, como a existência de bugs ou vulnerabilidades - naquele caso, a correção da porta de entrada remove o risco.
Comentário de Copernico Vespucio
não é bem assim: Esses executáveis com caracteres inseridos pelo "vírus" não comprometem o sistema. Correto?

Se eu entendi bem o processo:

Se ele pode escrever em scripts ou binários, ele pode produzir o efeito que quiser.

Apagar seu diretório home quando vc. chamar um script antes confiável (como aquele que inicia o seu jogo preferido pelo cedega), por exemplo... Ou criar um arquivo chamado apenas * (asterisco) no teu home, causando transtornos... Escrever código auto-replicante em binários executáveis...

O céu é o limite.

Com o acréscimo de alguns exploits do tipo suid root, a situação se agrava, pq ele passa a ter acesso a todo o sistema.

Então, no meu entender, o conceito é muito perigoso. Só está esperando para ser utilizado por alguém com suficiente talento e imaginação.
Comentário de Copernico Vespucio
sem root: Para infectar arquivos do próprio usuário que usa o wine, ele não precisa da senha de root.

E ele ainda poderia testar pela existência de um sudo mal-configurado ou rodar um exploit para ganhar poder de root (sem a senha) e causar mais estragos.
Comentário de santo
Inofensio é???: Então coloca o virus em um linux pra um usuário comum sem permição de de root e deixa o usuário te perguntar: "cadê meus documentos"
Ai você diz a ele: "O virus inofensivo apagou mas fique tranquilo o sistema está intacto"
ou então se o virus começar a mandar mandar e-mails contaminados para todos os contatos do usuário e ainda tem gente que tem coragem de falar que é inofensivo!
Onde está o infensivo?
Ou tem alguem querendo dizer que os dados dos usuários não são importantes?
Se não são importantes quais dados são?
Os dos administradores que usam a maquina uma vez na vida?
Se for assim vamos fazer a campanha "largue o outro S.O. e venha para cá por que aqui não ligamos pros seus dados".
Senhores quero lembrar que o computador é do usuário e não do S.O. ou seja não interssa se o sitema está intacto o negocio é os dados.

Falar que o virus é inofensivo por que ele só pode alterar os dados dos usuários é tampar o sol com a peneira
Comentário de Douglas Augusto
Mas quanto a isso não há: Mas quanto a isso não há remédio. O usuário pode baixar qualquer arquivo malicioso, por exemplo, um shell script que tenha "rm / -fr", e isto fará um estrago nos seus arquivos. Não é preciso ser multiplataforma, nem mesmo de fato um vírus, basta ser malicioso.

Não se pode fazer muito neste cenário além de esforços periféricos, como backups, restringir-se aos softwares internos, entre outros.

Agora, se o usuário está lendo um e-mail ou navegando na internet e um vírus infiltra-se silenciosamente (i.e., por falha no software), isto sim deve ser preocupante.

--
GAFFitter: a file fitter powered by a genetic algorithm.
FLTK: fast light C++ GUI toolkit.
Comentário de anderson p
Você ta viajando cara eu: Você ta viajando cara eu posso fazer o antigo bat e escrever deltree /y c:\MEUSDO~1

tchau seus arquivos

del c:\*.*
del c:\MEUSDO~1\*.*

jogar um bat no iniciar com o comando.
C:\WINDOWS\RUNDLL32.EXE shell32.dll,SHExitWindowsEx 2
seu computador vai iniciar toda hora.

outra coisa com o bat eu posso fazer ele criar um arquivo então Jogo.bat ou com

ECHO > vir.BAT DIR

vai criar um arquivo chamado vir.bat com este conteudo,mando o bixo jogo.bat se destruir ou acionar outro programa e o arquivo mando ele atacar na 3º reinicialização com

goto e if

if exist vaidesligar2.sys goto 2
echo > vaidesligar2.sys tetse
:2
if exist vaidesligar2 goto 3


não vou dar muito detalhe porque a molecada pode aprontar com isto.

Mas vai considerar isto virus então esta preparação funcionara em 85% já que os usuarios mantem sempre os arquivos dentro do meus documentos. o do reinicializar toda hora 99%

é bem sutil mas da para camuflar mais estas coisas que citei. E fazer bem pior

E ai o que me diz?

Fazer coisas deste tipo no Linux requer mais do usuario ele pergunta bem mais ele é chato.

AGora no Windows a porta ta aberta!! ou melhorar escancarada.

Comentário de Manoel Pinho
Vírus português: Meus parentes são portugueses mas esse "vírus" para linux está me lembrando aquela piada do vírus português, que transcrevo abaixo:


O Vírus Português


De: virus@portugal.com.pt
Para: voce@qualquercoisa.com.br

Olá, amigo internauta!

Sou um vírus português que enviará seu computador para a Casa do Chapéu.

Bem, como sou um vírus MANUAL, preciso de sua ajuda. Por favor, vá até o Windows Explorer e apague os arquivos win.ini, command.com e qualquer outro que você ache importante. Agora deverá me reenviar para toda a sua lista de contatos e depois disto, formate seu disco rígido e coloque fogo no seu computador.

Se quisermos superar o "I love you" precisamos cooperar.
Agradeço antecipadamente sua colaboração.

Atenciosamente,

Vírus Português


------------------------------
Participe (finalmente inaugurado):

Comunidade de Usuários do Mandriva Linux no Brasil
http://mandrivabrasil.org
Comentário de RockerTux
Tá, até que deu pra rir: Tá, até que deu pra rir :P
--
Jabber: rockertux [spammer] gmail [maldito] com
Comentário de Roger de Almeida
Santo,: Santo,

As suas colocações são válidas para um outro contexto. Não obstante você deve perceber que, o que foi analizado é um programa que consegue escrever uma rotina dentro de executáveis do Linux (ELF) e do windows, sendo no primeiro caso, sob certas circunstâncias, ou seja foi necessário usar o Wine para criar as características ambientais e um sistema compilado para i386 e kernel x.y.z para que o clt.exe pudesse ser executado com sucesso.

Note que, se você recompilar o seu kernel para uma arquitetura e/ou enxugando-o, e também os pacotes básicos do Linux, você estará criando um ambiente muito hostil para que um programa possa se infiltrar num arquivo do tipo ELF. Essa liberdade além de dar uma maior perfomance, gera uma segurança muito maior.

De acordo com a pesquisa, em outras circunstâncias, a investigação foi conclusiva em destacar que houve falha na execução do clt.exe, ou seja, não havia "inteligência" suficiente para se adaptar aos diferentes "climas".

Voltando a sua indignação, pense que este fato foi ótimo ter acontecido, pois vai provocar nos desenvolvedores e usuários de nível mais elevado, uma consciência de que devemos ficar atentos e produzir ambientes hostis para as pragas virtuais.

Não é por que foi dito palavras como "trivialidade", "inofensivo", que se deve levar ao pé da letra mas sim, como a análise da notícia, do fato, da investigação.

Nenhum sistema está imune!! Nenhum império é eterno!! Contudo, podemos manter a integridade através de cópia de segurança, documentação em dia, ficar atentos as atualizações e o porque delas, enfim, ficar por dentro do que cerca o mundo da informática.

[]
Roger


Comentário de Patola
Hahaha: Para evitar coisas assim, creio que a segurança do wine precisa ser melhorada, limitando a sandbox com restrições de segurança dentro da qual o programa emulado deve funcionar.

Você acompanha a lista do Wine?

TODA vez que eles tentam fazer algo ligeiramente parecido com isso, eles quebram compatibilidade com um monte de programas. O que os programadores do Wine mais reclamam é que parece que o Windows foi engenheirado pra ser inseguro - as APIs dele são permissivas demais, parece. Aí, se você tenta "consertar", nada mais funciona.
--
Dicionário rápido para o br-linux:
  • É exceção e não excessão.
  • É licença e não licensa.
  • É discussão e não discursão.
  • É opinar e não opnar.

Comentário de renatogdelf
Torvalds creates patch for cross-platform virus: O Linus já fez seus comentários sobre o porquê deste fato ocorrer, e disse: "The bug, which seems to me is more of a bug in GCC than the kernel, doesn't seem to appear in most code" :


Torvalds creates patch for cross-platform virus
Comentário de
Não é um patch contra o vírus: Note que não é um patch para evitar o vírus, mas sim para resolver uma falha no kernel identificada nos testes de laboratório com o vírus. E esta falha (o bug a que Torvalds se refere em seu comentário) impedia o vírus de operar em kernels mais recentes, inclusive.
Comentário de marcanth
Dá para deletar?: E o Windows deixa você deletar esses arquivos mesmo com poderes de administrador? Pode ser que até deixe... mas logo depois vai criá-los de novo, como faz com o iexplore.exe (você deleta ele e dois segundos depois ele é recriado). Pergunto isso porque várias vezes tentei deletar alguns arquivos (temporários) que tenho certeza que o Windows não precisa e não está usando e o sistema não deixou mesmo sendo administrador. Na verdade, com a "trusting computing" (leia-se "treacherous computing") você não é administrador do seu próprio sistema, mas alguém que pensa que é o administrador do sistema. (Windows = HAL 9000?)
Comentário de Copernico Vespucio
Wine: Você acompanha a lista do Wine?

Não. Nem costumo utilizá-lo, pra falar a verdade. Ainda tenho uma licença do XP OEM pra rodar alguns jogos que eu gosto (e meu XP só serve pra isso, mais nada :-] ) então, se eu quiser jogar, dou boot no miserável.

Sobre o problema, eu disse o que precisaria ser feito. Não falei que seria fácil ou sequer exequível. Eu conheço as cacas costumazes na API de sistema do win (passado vbzeiro negro...) e sei como são as coisas. Acho até um milagre o que a equipe do Wine já conseguiu.

Dicionário rápido para o br-linux:

Cara, sempre quis te dizer isso... :) Se vc. for registrar todos os erros de Português cometidos aqui no BR-Linux, a lista não vai caber na janela... Ô galera pra assassinar o Manuel...
Comentário de Copernico Vespucio
proteção: O Windows é um ambiente inseguro. Emular o windows vai trazer essa insegurança também (ou não seria uma emulação "perfeita" :) ).

Se vc. quer se proteger, não use emulações do Win, a menos que seja incrivelmente necessário. Se puder, crie um usuário exclusivamente para usar o Wine, sem acesso ao sudo ou a qualquer outro recurso mais sensível. E saiba que cada vez que vc. emular programas do Win com acesso a internet será como fazer sexo sem camisinha.

Isso resolve o problema "multi-plataforma"...

Quanto a vírus específico para Linux mesmo, simplesmente mantenha o sistema com kernel atualizado, use uma boa política de segurança (jamais dê chmod 777 a alguma coisa, defina permissões de segurança corretas para seus documentos importantes), um bom firewall (para prevenir ações de trojans) e bons programas, que não sejam vulneráveis a ataques básicos como buffer overflow. Com isso vc. estará suficientemente seguro e feliz.

Apenas usar Linux não é garantia de segurança (e ninguém nunca disse que era), mas ajuda. Usar Linux é ganhar conhecimento sobre seu sistema, e é essa a sua verdadeira defesa.
Comentário de Frederico Camara
A confusão: trivial, exploit/virus, antivirus e programas.: Para entender o que esse "vírus" faz, vocês têm que entender o sentido do que é "trivial".

Trivial (no GNU-Linux), é seu editor de texto conseguir gravar seu arquivo no seu diretório. No máximo, em diretórios permitidos. Trivial no Windows, é seu editor de texto conseguir gravar seu arquivo em qualquer lugar.

O que o vírus faz é trivial. Isso quer dizer que tanto no Windows quanto no GNU-Linux ele consegue alterar somente os arquivos aos quais ele tem permissão.

Agora vamos aos medos: medo de que nossos arquivos sejam apagados, medo de exploits, medo de virus, medo de worms.

O que fazer? Atualizar o sistema operacional e programas, fazer backups dos dados, não executar o que mandam para a gente.

Ok até aqui. Então o que muda com esse "novo vírus"? Simples: nada.

O problema não está com o vírus, está com o conceito do que deve ser executável pelo sistema operacional. O que deve ser protegido no sistema de arquivos. E como.

Antivírus é o programa que te avisa ou impede, quando um programa vai apagar seus arquivos ou formatar seu HD, não uma correção para o sistema operacional.

Por isso não entenda virus e exploits como a mesma coisa. A solução do vírus é atualizar o antivírus, a dos exploits é atualizar os programas.

Vírus que depende de falha de segurança tem que aparecer antes dela ser resolvida. Reclame do seu programa se demorarem na correção da falha de segurança. Não o use. E atualize sempre.
Comentário de glenio
WFP: [flame]
Você provavelmente está falando do Windows File Protection (Proteção de arquivos do Windows), que detecta alterações nos arquivos do sistema (dá um aviso chato), e substitui ele pelo original. Dê uma olhada na pasta \windows\system32\dllcache :-)

Pra desativar, abra o regedit, navegue até a chave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon e altere o valor SFCDisable para 1.
Nem sempre isso resolve, alguns arquivos são chatos mesmo e só é possível remover no modo de segurança, ou pelo KillBox.
[/flame]
BR-Linux.org
Linux® levado a sério desde 1996. Notícias, dicas e tutoriais em bom português sobre Linux e Código Aberto. "A página sobre software livre mais procurada no Brasil", segundo a Revista Isto É.
Expediente
Sobre o BR-Linux
Enviar notícia ou release
Contato, Termos de uso
FAQ, Newsletter, RSS
Banners e selos
Anunciar no BR-Linux
BR-Linux apóia
LinuxSecurity, Tempo Real
Suporte Livre, Drupal
Verdade Absoluta
Pandemonium
Efetividade, Floripa.net
sites da comunidade
Ajuda
Moderação
Flames: não responda!
Publicar seu texto
Computador para Todos
Notícias pré-2004
Tutoriais, HCL pré-2004