• Главная
  • Карта сайта
Не найдено

Linux віруси. Історія, огляд, аналіз небезпеки.

  1. Історія linux-вірусів
  2. Принцип роботи linux-вірусів
  3. Небезпека Linux-вірусів
  4. Деякі відомі Linux-віруси
  5. Загальні принципи:
  6. Функції самця:
  7. Рекомендації щодо підвищення антивірусної безпеки в Ubuntu

Про небезпеку вредоносноко ПО (вірусів, троянів і т Про небезпеку вредоносноко ПО (вірусів, троянів і т.д.) знають всі. Але ця небезпека в основному властива Windows системам, і це для багатьох є причиною переходу на Linux. Деякі помилково вважають, що для Linux взагалі не існує вірусів. Але чи так це насправді? Шкідливе ПО існує для будь-яких операційних систем! Про те, чому вірусів для Linux дуже мало читайте в цій статті. Але для початку давайте розглянемо історію і принципи роботи linux-вірусів. Але якщо читати історії вам нудно, зайдіть погратися з вірусами на.

Історія linux-вірусів

Перший вірус (черв'як) для UNIX - це Черв'як Моріса (хоча він був не най-най першим - були віри для Apple, Siemens і т.д.). Автор був двієчником-аспірантом в Корнельському університеті. Допущені ним помилки (малий час для періодичністю перезапису / розмноження вірусу) привела до епідемії. А логічні помилки в коді привели до багаторазового інфікування комп'ютерів, в результаті вірус перетворився в DoS-атаку, яка призводила до "відключці" компів. Але мало того, що він лоханулся в коді, так цей придурок ще і в усьому зізнався добровільно! В результаті суд засудив його до трьох років умовно, 10 тисячам доларів штрафу і 400 годин громадських робіт. Не повторювати помилок Морріс! Першим же вірусом для Linux вважається "Bliss", що з'явився в кінці 1996 року. Вважати цю програму вірусом язик не повертається. Мабуть, автор просто пожартував, та й вирішив показати саму можливість написання вірусу для linux. Bliss написаний на мові C і може бути перенесений на будь-яку unix систему. Шкоди цей домашній вихованець не заподіює, а просто живе в системі. Мало хто знає, що Bliss володіє механізмом лікування системи від Bliss (якщо не зрозуміли фразу, перечитайте її ще пару раз). Якщо запустити його з таким ключем

--bliss-uninfect-files-please

то він повністю віддалиться з системи. Ось такий оригінальний гумор у програмістів. Якщо кому буде цікаво, ось посилання на. Другим офіційно зафіксованим вірусом став Linux.Vit.4096. Це вже приклад типового вірусу. Прямого шкоди він не несе, але плодитися може знатно. На його прикладі я розповім про принцип роботи вірусу (див. Нижче). На даний момент віруси для linux створюються рідко - зазвичай шкідливе linux ПО відноситься до груп backdoor і rootkit. Про небезпеку цих типів розповім нижче. На даний момент відомо Окілок півтори тисячі вірусів для unix-систем (за даними), а в базах Kaspersky Internet Security - три з гаком мільйони вірусів (включаючи лінуксові півтори тисячі), велика частина з яких віндового. Відчуйте різницю !!!

Принцип роботи linux-вірусів

Чесно кажучи, принцип роботи windows- і linux-вірусів не відрізняється. Відрізняються лише структура файлів в самих ОС.

Виконувані файли в Linux мають спеціальний формат - ELF (Executable and Linkable Format - формат виконуваних і компонованих файлів). У кожного ELF-файлу є заголовок, в якому вказана адреса входу, тобто місце, де починається код самої програми. Таким чином завантажувач ELF interpretor дізнається, що і в якій кількості завантажувати. "Класичний" вірус записує себе в місце точки входу, щоб, виконуючи, передати управління оригінальній програмі, яку він помістив в інше місце. Завантажувач запускає процес, розташований за адресою з заголовка, вважаючи його нормальної програмою, а вірус, що перехопив таким чином управління, сам є подобою ELF-файлу, але спочатку в ньому записаний виконуваний шкідливий код, а потім - подобу ELF-заголовка, щоб передати управління оригіналу. Антивіруси, скануючи систему і знаючи "в обличчя" багато вірусів, перевіряють вміст файлу на наявність знайомого ділянки коду (тіла вірусу) і при необхідності видаляють його. Якщо не зрозуміли на словах, дивіться картинку:

Якщо не зрозуміли на словах, дивіться картинку:

Саме так працює вірус. З усього цього випливає, що вірус повинен мати доступ на запис до інфіковані файлу. Тому НІКОЛИ не використовуйте root просто так. Вірус потрапив в вашу систему може мати лише тими ж правами, що і ви. Якщо ви працюєте під користувачем, то вірус ніколи не зможе завдати шкоди системі, але завдати шкоди ваших особистих даних може. У загальному випадку немає структурних відмінностей між Windows-вірусами і Linux-вірусами. Принципова різниця в побудові системи допусків самих ОС. У систему Лінукс вірус може потрапити так само легко як і в Вінду, але він не зможе "самореалізуватися", тому шкідливим його можна назвати з великою натяжкою. Інша складність для лінуксового вірусу полягає в тому, все системи дуже сильно відрізняються один від одного. Будь-яка програма (і вірус теж) використовує якісь системні функції (хороший приклад - це залежності пакетів в Linux: ви не зможете запустити пакет А, якщо він залежить від отсутсвии пакета Б). З цього випливає, що вірусопісатіель розраховує на наявність певних бібліотек (і зазвичай їх кількість ісчесляется парою десятків). В результаті написаний вірус реально зможе заробити на 1-2 машинах з тисячі, але і там буде сильно обмежений в своїх правах. Інша складність для вірусу - це принцип логування в Лінукс. Якщо хто не знає, Лінукс взагалі і Ubuntu зокрема записує в логи все і вся (якщо покопатися, можна знайти: які сигарети ти курив за комп'ютером, скільки пива було в холодильнику і т.д. і т.п.), що дозволяє легко і швидко виявляти віруси, навіть якщо вони змогли проникнути. Але це класика ... Детальніше про типи вірусів, способах їх поширення, небезпеки та інше в мережі повно інформації. Про те, що віруси являють собою небезпеку (величезну для Windows і деяку для інших ОС) всім вже зрозуміло. Тепер розглянемо, що нам загрожує в Linux.

Небезпека Linux-вірусів

Як я говорив вище, найбільшого поширення в Linux отримали т.зв. бекдори і руткіти.

Визначення: backdoor - програма для одержання віддаленого доступу до взломаной машині (backdoor - від англ. Задні двері). Зазвичай йде в парі з руткітом. rootkit - програма для "затирання" слідів злому і забезпечення роботи бекдора. Може складатися з комплексу програм. exploit - програма або її частина, призначена для отримання доступу до віддаленого комп'ютера або порушення його роботи. Експлоїт використовує будь-яку вразливість в програмному забезпеченні для проникнення "внут" і / або введення в систему бекдор і руткітів.

Ці програми зазвичай не мають механізмів розмноження (крім випадків, коли ця шкідлива система сканує комп'ютери в мережі, щоб заразити і їх, використовуючи експлойт, наприклад, вірус Ramen). Але найчастіше зловмисник (хакер) зламує вашу систему, не використовуючи "стандартний" експлоїт (якщо він не скріпткіді), і впроваджує в систему бекдор і руткит. Backdoor забезпечує зв'язок і дистанційне керування комп'ютером жертви. Часто їх можна виявити за відкритими портам, але не завжди, тому що порти можуть змінюватися, та й бекдор може використовувати будь-який стандартний порт (наприклад, http 80 порт). Поки його виявлення не є проблемою, тому що всі дії потрапляють в логи ОС. Ось тут і виходить на сцену тов.Rootkit. Він затирає всі "сліди" перебування в системі бекдор і самого себе. Найбільшу небезпеку становлять "ядерні" руткіти. Вони можуть бути реалізовані модулем ядра або вносити зміни в пам'ять ядра. Але в більшості випадків руткіти лише підміняють якісь системні утиліти і змінюють настройки безпеки, і те й інше легко виявляється антіруткіта (наприклад, rkhunter) або блокується засобами превентивного захисту (SELinux і AppArmor).

Коротко про AppArmor: AppArmor -Програмний інструмент упреждающей захисту, заснований на профілях безпеки, які визначають, до яких системних ресурсів і з якими привілеями може отримати доступ ту чи іншу програму. в AppArmor включений набір стандартних профілів, а також інструменти статичного аналізу та інструменти, засновані на навчанні, що дозволяє прискорити і спростити побудову нових профілів. За замовчуванням входить до складу дистрибутивів Ubuntu з версії 7.10, але не всі профілі включені за замовчуванням.

По суті руткитами є майже всі системи захисту від копіювання та емулятори CD / DVD і інших пристроїв. На рівні користувача руткіти не становлять небезпеки (зазвичай), але можуть терпляче сидіти в системі, чекаючи, коли ви дасте інфікованої програмі права суперкористувача.

Деякі відомі Linux-віруси

  • вражає Linux-системи з запущеним DNS-сервером BIND версій 8.2, 8.2-P1, 8.2.1, 8.2.2-Px, і всіх 8.2.3-beta.
  • досить нешкідливий вірус, дуже схожий на наступний в цьому списку Linux.Vit.
  • . см. опис вище в даній статті.
  • вражає Red Hat Linux 6.2, використовуючи вразливості в wu-ftpd і rpc.statd, і Red Hat Linux 7.0., використовуючи вразливості lpd.
  • - багатоплатформовий концепт-вірус для Windows і Linux. В "дикої" природі поки не помічений.
  • - небезпечний вірус, який відкриває віддалений доступ до локального комп'ютера. Заспокоює лише те, що вірус небезпечний при запуску лише під root`ом.

Мій досвід віропісательства

Під Linux я віруси ніколи не писав. Коли почав захоплюватися open-source OS, все пориви писати віриси вже пройшли. Як будь-яка нормальна програміст я захопився вивчення вірусів, навчаючись в університеті по спечіальності 2201 "Обчислювальні машини, комлекс, системи та мережі". Писати дійсно деструктивні творіння - це не мій метод (я ж добрий до огиди), тому я підійшов до питання творчо. Будучи людиною молодим і сексуально стурбованим, я і вірус вирішив зробити таким же. Так з'явився на світ різностатевий вірус. Між іншим, в історії я знайшов лише один випадок різностатевих комп'ютерних вірусів - це вірус, але тоді я про це не знав. Як з'ясувалося пізніше, мій варіант був реалізований краще. Самку я назвав Jane, а самця - не пам'ятаю як.

Загальні принципи:

Вірус вражає виконувані файли (тільки .exe) Вірус не розмножується самостійно (поділом), але може перемещаеться з файлу в файл. Вірус не є резидентним, а лише виконує свої функції при запуску інфікованого exe-файлу. Після закінчення таймера вірус повертається в початковий файл, якщо не знайшов новий вільний.

Функції самця:

  1. Самець - мала версія вірусу, що не має функції реплікації взагалі.
  2. Самець, скануючи файли, може знайти і відповідно виконати:
    • Чистий файл - переміститися в нього або піти далі в залежності від ГСЧ;
    • Файл інфікований іншим самцем - пройти далі (механізм боротьби між самцями я полінувався створювати);
    • Файл інфікований самкою - СЕКС! З ймовірністю 50% самка вагітніє, тобто самець вносить зміну в код самки;
    • Файл інфікований вагітною самкою - пройти далі.

Функції самки:

  1. Самка є носієм повного коду (і мужкого, і жіночого);
  2. При запуску самка перевіряє стан вагітності: Вагітна - перевіряється термін, якщо термін більше 9 днів, то з імовірністю 80% народжує (п.4); Не вагітна - йде "гуляти", тобто сканувати файли.
  3. Самка, скануючи файли, може знайти і відповідно виконати:
    • Чистий файл - переміститися в нього або піти далі в залежності від ГСЧ;
    • Файл інфікований самкою - піти далі;
    • Файл інфікований самцем - з ймовірністю 10% самка вагітніє, вносячи зміни в своє тіло.
  4. Пологи - самка може народити до 3х тел (дуже низька ймовірність, приблизно 1%). З гендерної ймовірністю 50/50 для кожної дитини самка або створює свою повну невагітних копію (самка) або скорочений варіант коду (самець) в довільний файл.

Де я нарив ці цифри ймовірностей, навіть не питайте! Всі ці ймовірності були введені виключно для обмеження розмноження (інакше за 1-2 години активної роботи вони інфікували взагалі все exe-шники). З такими обмеженнями популяція вірусу за тиждень виросла з 2-х до приблизно 70-80 особин. Звичайно, я відразу написав і антивірус .... але випадково видалив його разом з іходнікамі при перевстановлення гребаной Windows 98. А в системі вже жило до 5 різних білдів (тобто різних розмірів і сигнатур). У пориві манії переслідування я видалив і вихідні випус, від гріха подалі (хоч і не було тоді відділу "К"). Було ще багато ідей щодо розвитку цього вірусу і з написання нових, але минув час і я опинився на іншій стороні барикад. До речі, цей вірус був написаний на Pascal з використанням asm вставок і легкої HEX-правкою скомпіллірованного коду.

Рекомендації щодо підвищення антивірусної безпеки в Ubuntu

  1. Зведіть роботу з правами суперкористувача до мінімуму - це найважливіша рекомендація !!!
  2. Налаштуйте брандмауер (або хоча б включіть то, що є в Ubuntu за замовчуванням).
  3. Не лінуйтеся налаштовувати профілі для AppArmor - це в перший раз довго, потім можна переносити налаштування на нову систему.
  4. Якщо в мережі є Windows машина, встановіть антивірус. Особисто мене влаштовує ClamAV), який є в сховищі.
  5. Захистіть GRUB паролем, щоб Злидень не міг встановити руткіт, дорвавшись до вашого комп'ютера.
  6. Мийте руки перед їжею.
  7. Якщо попередні поради вам не допомогли, користуйтеся презервативами - вам не варто розмножуватися!

Посилання по темі Linux-віруси: в Вікіпедії

PS: Хоч і не люблю я вінду, але знаю, що можна за посиланням.

Популярність: 6%

Але чи так це насправді?
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью