Лаборатория Касперского опубликовала (http://www.securelist.com/ru/blog/207763854/Unikalnyy_bestel...) разбор вредоносного ПО, интересного применением сразу нескольких интересных подходов. Во-первых, вредоносное ПО носило многоплатформенный характер и поражало системы на базе Windows и Mac OS X, эксплуатируя уязвимости в необновлённом плагине Java (теоретически, данное ПО может быть адаптировано и для атаки на Linux).
Во-вторых, вредоносное ПО не сохраняло никаких данных на диск и работало исключительно в памяти процесса javaw, что существенно усложнило выявление антивирусами, но позволило сохранить работоспособность только до первого перезапуска. Проблема с небольшим временем жизни зловредного ПО была решена необычно - через обеспечение высокой вероятности повторного поражения, для чего эксплуатирующий уязвимость код был интегрирован в рекламные блоки одного из клиентов сети AdFox, материалы которой размещаются на ряде крупнейших новостных сайтов, таких как РИА Новости и Газета.Ру.
После активации, вредоносное ПО осуществляло отправку на сервер злоумышленников истории посещений сайтов и запросы на получение управляющих команд. В случае, когда среди сайтов встречались службы online-банкинга, на машину жертвы дополнительно устанавливалось троянское ПО Lurk, пытающееся перехватить данные платёжных идентификаторов пользователя для последующей кражи средств с банковских счетов.URL: http://www.securelist.com/ru/blog/207763854/Unikalnyy_bestel...
Новость: http://www.opennet.me/opennews/art.shtml?num=33397
ну я пока только один вариант вируса для линуксов придумал. это когда вирус использует уязвимость чтобы наложить патч закрывающий уязвимость.
> вирус использует уязвимость чтобы наложить патч закрывающий уязвимость.Осторожнее! Ksplice обложен паентами. Ж)
А он разве вирус? :)
Нет, но когда+если за мозговыми сущностями предыдущего оратора придут патентные лояры Оракеля... будет хуже~~~
я с оракелем кофе пил фсё проплачено.
Ну, тада всё Ок. Копию письменного договора, чеки-квитанции -- в отдел Р и _обои --> "по железной дороге..." за сговор с целью распространение вредоносого.
Ramen :)
Все уже было придумано и реализовано лет 15 назад.
> Лаборатория Касперского опубликовала разбор вредоносного ПОНе знаю кому как... А у меня, регулярные выпосты спецов из этой лаборатории, всегда вызывают нехорошее чувство... Похожее ощущается после встречи привокзальной цыганки, вопящей тебе в спину обвинения и проклятья, за то что ты ей и её многочисленным детям не отстегнул бабулеток на утоление постоянного голода!
На многих сайтах ( в том числе inosmi.ru ) выдел загрузку данного апплета - 100% вируса.
Даже касперу отписал о данном вирусе, через неделю каспер его ещё не видел, а теперь через кучу времени они "обнаружили" уникальный вирус :D :D.
Антивирусы хрень сабачая, если они так вирусы ловят.
Это к любым плагинам/скриптам можно отнести.
Выпиливать совсем, может быть, слишком кардинально, но завести для работы (особенно с банками) отдельного пользователя или хотя бы другой профиль для firefox имеет смысл.
> Выпиливать совсем, может быть, слишком кардинальнохмм, у меня java отлкючена перманентно
неработающих сайтов ещё не видел, кроме кучки раритетных демок
Плагины - зло, лучший антивирус - своя голова.
Для работы с банками надо держать отдельный компьютер.
> ИМХО выпилить давно пора JavaВЫПИЛИТЬ??? а где это он впилин?.. я давно его уже не видил в своих браузерах xD
Давно пора java-плагин сделать опциональным для загрузки, а не интегрировать в установщик. Кому он нужен, те его установят.
Проект OpenNet - портал по открытому ПО, Linux, BSD и Unix системамЭта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут? Разве что на радость троллям всех мастей.
Люди сюда приходят почитать новости про Linux, BSD и Unix системы (я например за этим сюда заглядываю), а тут взяли за привычку через тему постить про Windows и Mac OS X. Про них можно в тысячях мест всё узнать, кому они требуются, зачем их и сюда совать то? Кроссплатформенную толерантность демонстрируете что ли? Перед кем и для чего? Неужели вам больше писать больше не про что кроме очередного феерически-параноидального бреда из корпорации Касперского?
> Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут?См. текст новости: «теоретически, данное ПО может быть адаптировано и для атаки на Linux».
> См. текст новости: «теоретически, данное ПО может быть адаптировано и для атаки
> на Linux».о! беру на вооружение идею. пишу любую ерунду, в конец добавляю: «теоретически линукс гну столман!» ОПА! новость волшебным образом становится тематической.
> Проект OpenNet - портал по открытому ПО, Linux, BSD и Unix системам
> Эта Java-Каспероидная тема даже удалённо не удовлетворяет тематике портала! Зачем она тут?Java и компьютерная безопасность изначально подпадали и подпадают под тематику opennet.ru. В данном случае, кроме того, что данный вид вредоносного ПО представляет потенциальную опасность и для Linux (адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая), важна сама тенденция. Операционные системы и Java в данном случае лишь атрибуты первой рабочей реализации.
Ключевой мотив новости в том, что браузеры уже настолько плотно вошли в обиход, не закрываются неделями и всё больше используются как платформа для основной работы, что вредоносное ПО может ограничиться только их поражением, не вылезая наружу в ОС. Ситуация, когда после эксплуатации уязвимости осуществляется модификация текущего процесса браузера/плагина и вредоносный код остаётся скрыт, представляет очень серьёзную угрозу. С учетом все большего использования JIT для JavaScript трудно представить как вообще можно выявить такую модификацию уже работающего процесса, если вредоносный код явно не проявляет себя, например, отправляя запросы по сети.
> адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая... но решительно никому не нужная. Читаем описание работы вируса. Каким образом, интересно, он выполнит вторую часть своей работы (для которой, собственно, и создан)?
>> адаптировать эксплоит, чтобы он поражал Linux-сборку Java-плагина задача вполне выполнимая
> ... но решительно никому не нужная. Читаем описание работы вируса. Каким образом,
> интересно, он выполнит вторую часть своей работы (для которой, собственно, и
> создан)?Установка трояна - это издержки производства, контролируя выполнение браузера, злоумышленники могут контролировать и все вводимые в нём данные, включая параметры аутентификации к online-банкам и номера кредиток. Никакой SSL в этом случае не поможет и никакие кейлоггеры не нужны.
> параметры аутентификации к online-банкамДля того и делают одноразовые пароли, подтверждение через sms и прочие подпорки.
т.е. в принципе смирились с тем, какое дырище этот веб
А что, из этого плагина уже можно контролировать выполнение браузера? То-то этот зловред жил только до перезапуска...
>Каким образом, интересно, он выполнит вторую часть своей работы (для которой, собственно, и создан)?Накатает багрепорт в winehq. =)
> теоретически, данное ПО может быть адаптировано и для атаки на Linuxа практически это ПО будет ничего не делать на машинах без JRE (ну или что там нужно для этой байды)
>на машинах без JREДа, пусть они там у себя в этих вебтриноль лабораториях портируют такую няку на JS/
Зачем отказываться от jre который нужен например для libreoffice если можно не ставить/удалить/отключить плагин