The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлено вредоносное ПО, поражающее Windows, Mac OS X и Linux

11.07.2012 15:28

Исследователи из финской антивирусной компании F Secure сообщили об обнаружении в диком виде вредоносного ПО, поддерживающего атаку на системы с Windows, Mac OS X и Linux. Распространение вредоносного кода производится через web-сайты с использованием методов социальной инженерии. Под видом штатной функции сайта пользователь загружает и запускает подписанный JAR-архив, содержащий специальный апплет на языке Java.

Цифровая подпись сформирована с использованием самодельного сертификата, поэтому перед запуском пользователю выводится надлежащее предупреждение (рассчитывается, что пользователь его проигнорирует и согласится с выполнением операции). После получения управления апплет проверяет тип операционной системы жертвы и задействует подходящий для данной системы троянский код, после чего на систему клиента устанавливается бэкдор с поддержкой удалённого выполнения операций. Судя по составу апплета вредоносное ПО подготовлено с использованием открытого инструментария Social-Engineer Toolkit.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Предложение по использованию TLD-доменов ".secure" для гарантированно защищённых ресурсов
  3. OpenNews: У 60% пользователей установлены уязвимые версии Java. Firefox будет блокировать старые версии Java
  4. OpenNews: Зафиксировано распространение через рекламную сеть AdFox вредоносного ПО, эксплуатирующего уязвимость в Java
  5. OpenNews: Выявлен червь, использующий уязвимость в панели управления хостингом Parallels Plesk
  6. OpenNews: На сайте MySQL.com обнаружен вредоносный JavaScript-код, распространяющий троянское ПО
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34308-java
Ключевые слова: java, trojan, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (136) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:37, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А разве Java апплетам не запрещено выходить за пределы браузера?
     
     
  • 2.2, Преподаватель информатики (?), 15:43, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Вот и мне интересно.
    В любом случае noscript сделает своё дело.
     
     
  • 3.33, Аноним (-), 16:47, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы уверенны что noscript спасет от Java апплета?
     
     
  • 4.41, добрый дядя (?), 17:28, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы уверенны что noscript спасет от Java апплета?

    да, равно как и от флэшака

     
     
  • 5.133, Aquarius (ok), 16:39, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    и как же он спасет от "загружает и запускает"?
     
     
  • 6.134, анон (?), 16:57, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    java апплет просто не загружается
     
     
  • 7.157, Aquarius (ok), 11:10, 24/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > java апплет просто не загружается

    речь о том, что человек загружает по ссылке jar и запускает его, как от этого варианта спасет noscript?

     
  • 4.47, Аноним (-), 17:43, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Он вообще всю незапрошенную интерактивность давит. Ему пофиг, ява там, флеш или какой-то еще не в меру активный крап. Доктор сказал в морг - значит в морг.
     
  • 4.91, Аноним (-), 20:40, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    от ява аплета не нуден даже noscript. Просто нечего это дерьмо держать в системе, не говоря о том, чтобы другое дерьмо на яве запускать из вебни
     
     
  • 5.135, Maniaq (ok), 21:45, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > от ява аплета не нуден даже noscript. Просто нечего это дерьмо держать
    > в системе, не говоря о том, чтобы другое дерьмо на яве запускать из вебни

    расскажите мне как порулить СХД без жабы (хорошо еще, то иногда нужен флешь или сервилат) на ПК админа?


     
  • 2.6, Аноним (-), 15:46, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запрещено. Как и флешу, сирвелату, джаваскриптам и gif-картинкам. Только запрещения не спасают от дыр (как в плагинах, так и в браузере, да и вообще в любом ПО).
     
     
  • 3.14, Anoynymous (?), 16:02, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, не запрещено. Подписанный аплет может делать что угодно - предполагается, что пользователь доверяет источнику.
     
     
  • 4.42, добрый дядя (?), 17:30, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, не запрещено. Подписанный аплет может делать что угодно - предполагается, что
    > пользователь доверяет источнику.

    noscript по умолчанию настроен так что ты даже доверенный флэш так и не запустишь, ты должен нажать чтобы апплет заработал, не ранее

     
  • 4.48, Аноним (-), 17:45, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет, не запрещено. Подписанный аплет может делать что угодно

    ... запуститься он сможет не ранее того как я явно этого возжелаю. Чем ноускрипт и хорош. Хотя еще лучше не инсталить явы, флеши и прочие костыли. А нафига они нужны в современном вебе?

     
     
  • 5.75, Anonim (??), 19:26, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте шапку. Он и в ИЕ под виндой спросит разрешения. Расчет на то, что ты разрешишь. 80% пользователей так и сделают если им надо скачать/открыть/и т д/ что-то вкусное
     
     
  • 6.99, Аноним (-), 21:40, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Он и в ИЕ под виндой спросит разрешения.

    А в noscript никаких вопросов нет. Пока IE имеет юзеру мозг, в лисе оно просто тихонько denied вплоть до тех пор пока я не передумаю :)

     
     
  • 7.129, angra (ok), 15:04, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наплыв школоты, узнавшей про noscript и мнящей себя по этому поводу кулхацкерами? Еще раз для особо одаренных, даже на винде под ишаком пользователю будет задан вопрос про запуск, noscript в данном конкретном случае не добавляет абсолютно ничего кроме пары лишних кликов.
     
     
  • 8.131, ООО (?), 15:55, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз для школоты, ещё не познавшей носкрипт если тебе самому этот аплет не п... текст свёрнут, показать
     
     
  • 9.138, XoRe (ok), 01:50, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Одна школота обзывает другую школоту школотой Тут написано, что noscript спаса... большой текст свёрнут, показать
     
  • 3.54, Аноним (-), 17:50, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Только запрещения не спасают от дыр

    Вообще-то спасают: если нечто не может запуститься то и напакостить оно не сможет :)

     
  • 2.16, фывафыва (?), 16:06, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Конечно не запрещено. Как, ты думаешь, всякие банк-клиенты будут работать, которые ключи в файловой системе хранят? Разумеется, сначала спрашивается разрешение.
     
  • 2.25, Аноним (-), 16:29, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Показаль комментариев тех кто не прочитал новость меня шокирует. Там же написано все.
     
     
  • 3.34, Аноним (1), 16:49, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Новость на ходу на половину переписали после вопроса.
     
  • 3.100, Аноним (-), 21:41, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Показаль комментариев

    А меня шокирует такая безграмотность. Что еще за показаль?

     
     
  • 4.106, амонин (?), 01:55, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Он тебе написаль и показаль то, о чем сам не прочиталь и даже не поняль:)
     
  • 2.27, ананим (?), 16:35, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Апплеты выполняются не в браузере, а в jvm.
    Соответсвенно и ограничить их может только последний.
    Т.е. это отдельный процесс
     
  • 2.53, fangel (?), 17:49, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да это по типу как в винде всякие фейковые антивирусы. Юзер сам ставит софт и запускает, а в награду получает трояна или винлок
     
     
  • 3.55, Аноним (-), 17:51, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > трояна или винлок

    Ну вылитый каспер с забытым паролем на администрирование - хрен его вышибешь потом :)


     
  • 2.72, redixin (ok), 19:06, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    в жава виртуальных машинах тоже дыр хватает. именно поэтому оно "задействует подходящий для данной системы троянский код"
     

  • 1.3, бедный буратино (ok), 15:43, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это называется "признание на высшем уровне" :)
     
  • 1.4, Аноним (-), 15:44, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    а уязвимость то где?
     
     
  • 2.7, Аноним (-), 15:48, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >а уязвимость то где?

    "на систему клиента устанавливается бэкдор с поддержкой удалённого выполнения операций. "

     
     
  • 3.10, бедный буратино (ok), 15:53, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Возможно, человек интересуется, где скачать? Меня тоже интересует, какие системные требования, с какими дистрибутивами совместим... есть ли в репозиториях? :)
     
  • 3.11, Аноним (-), 15:53, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я думаю, вопрос "в каком компоненте системы дыра, позволяющая это сделать?". Как минимум, в браузере, хоть и не понятно, в каком.
     
     
  • 4.36, Аноним (-), 16:55, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Дыра в головах.

    Точно так же можно выложить на сайте блоб с игрушкой, которые помимо игрушки содержит программу удаленного контроля, прописываемую в автозапуск.

     
     
  • 5.139, XoRe (ok), 01:52, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Дыра в головах.
    > Точно так же можно выложить на сайте блоб с игрушкой, которые помимо
    > игрушки содержит программу удаленного контроля, прописываемую в автозапуск.

    ya, ya, chert poberi =)

    http://www.f-secure.com/weblog/archives/00002399.html

     
  • 2.22, Сергей (??), 16:22, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В старой жабе, походу.
     
     
  • 3.30, ананим (?), 16:37, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А новая жаба апплеты запускать уже не умеет?
     
  • 2.24, анон (?), 16:29, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В мозгах некоторых индивидов
     
  • 2.49, Аноним (-), 17:45, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > а уязвимость то где?

    На кресле сидит. Прокладка между клавиатурой и монитором.

     
     
  • 3.126, Аноним (-), 13:55, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    интересно, что за между монитором и клавой может быть... зачем там прокладка? (женская?)
     
     
  • 4.140, XoRe (ok), 01:54, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > интересно, что за между монитором и клавой может быть... зачем там прокладка?
    > (женская?)

    Чтобы впитывать слюни, которые попадают на монитор и клаву в процессе дебатов с анонимами

     
  • 3.147, Аноним (-), 10:47, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >На кресле сидит. Прокладка между клавиатурой и монитором.

    Получается, что кресло между клавиатурой и монитором?

     
  • 2.87, Michael Shigorin (ok), 20:17, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а уязвимость то где?

    Там же, где и разруха -- в головах.

     

  • 1.5, Аноним (-), 15:45, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И нужно ли знать рутовый пароль чтобы использовать данное по?
     
     
  • 2.8, pkdr (?), 15:50, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Для данного нет, так как работает оно только с правами юзера, что сидит в браузере.

    Судя по тому, что
    > Цифровая подпись сформирована с использованием самодельного сертификата, поэтому перед
    > запуском пользователю выводится надлежащее предупреждение (рассчитывается, что
    > пользователь его проигнорирует и согласится с выполнением операции).

    при необходимости рутовых прав, оно вежливо попросит пользователя ввести рутовый пароль в отдельном окошке.

     
     
  • 3.23, grondek (ok), 16:27, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а make; sudo make install оно не просит?
     
  • 3.85, СуперАноним (?), 20:16, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А в Бубунте (или  каких ещё дистрах), где так полюбили sudo без ввода пароля рута, оно само молча от имени рута что надо сделает.
     
     
  • 4.98, Аноним (-), 21:32, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >sudo без ввода пароля рута

    ну прямо в Убунте sudo без пароля, толсто

     
  • 4.101, Аноним (-), 21:44, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А в Бyбyнте (или  каких ещё дистрах), где так полюбили sudo
    > без ввода пароля рута,

    Вообще-то они это полюбили только на ливсидюке, а в установленной на винч системе - пароль спрашивается. Хотя конечно, прикольнее думать что все вокруг дебилы, а вот вы - умный, но увы - это не соответствует действительности в данном случае. FAIL, FAIL, FAIL.

     
     
  • 5.117, oermolaev (?), 12:44, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    несколько раз попадал на то что после установки ПО для мегафоновского модема пароль для sudo больше не спрашивался
     
     
  • 6.121, ананим (?), 13:12, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    который работает через fuse в юзерспейсе?
    ню-ню.
    исключите себя из группы pludev (или что там у вас за дистр), начнёт спрашивать.
     

  • 1.9, Анонимас (?), 15:51, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В принципе, пофиг, ибо не имею ява-плагина для браузера.

    > The growing popularity of Macs has ushered in a rash of new malware attacks that target the platform, most notably the Flashback menace

    Хм, а разве это «нацеленное на платформу» зверьё не использовало дыры в тех же явах-флешах, а не непосредственно в ОС?

     
  • 1.12, Costya (?), 15:58, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересен сам факт того , что можно подхватить без рута...
     
     
  • 2.96, Аноним (-), 20:51, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    без рута головного мозга, или даже вообще без мозга.
     
  • 2.141, XoRe (ok), 01:56, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Интересен сам факт того , что можно подхватить без рута...

    Без рута всегда можно подхватить rm -гf ~/* ~/.*

     

  • 1.13, кверти (?), 15:59, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >на систему клиента устанавливается бэкдор с поддержкой удалённого выполнения операций

    ну-ну, а iptables какими правами меняться будет?

     
     
  • 2.18, Аноним (-), 16:10, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И как iptables отличит исходящее соединение на 80 от браузера от исходящего соединения на 80 порт от трояна?
     
     
  • 3.102, Аноним (-), 21:44, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И как iptables отличит исходящее соединение на 80 от браузера от исходящего
    > соединения на 80 порт от трояна?

    Локальный может по PID и т.п., ремотный понятное дело никак.

     
     
  • 4.111, Аноним (-), 11:35, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Локальный может по PID и т.п., ремотный понятное дело никак.

    Поддержку PID/SID из iptables выкинули хренадцать лет назад (конфликтует с линуксовым планировщиком задач).

     
  • 3.112, Аноним (-), 11:36, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > И как iptables отличит исходящее соединение на 80 от браузера от исходящего
    > соединения на 80 порт от трояна?

    Это задача SELinux.

     
  • 2.113, Аноним (-), 11:36, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>на систему клиента устанавливается бэкдор с поддержкой удалённого выполнения операций
    > ну-ну, а iptables какими правами меняться будет?

    При бэкконнекте трогать фаервол нафиг не надо, он и так пропустит.

     

  • 1.15, Аноним (-), 16:03, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    а с OpenJDK работать будет?или ему только полнофункциональную Java надо?ну и версия java. а то может надо обновить до 7 версии, чтобы работало
     
     
  • 2.37, Аноним (-), 16:58, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Судя по всему для правильной работы вредноносного ПО первых версий нужно было наложить дополнительные патчи и пересобрать ядро. Встречайте обновленная версия!!!
     
  • 2.38, Аноним (-), 17:05, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Системными требованиями интересуемся?

    На месте спецслужб я бы создавал троянские решения с установленными бэкдорами в системе управления троянами, для "кучкования" и быстрого выявления всех, кто заинтересован в оценке фактора своей судимости на свою последующую карьеру.

    В банки, оборонку - точно не попадете, в крупные коммерческие и гос. компании - под вопросом. И всегда вас будут "лергать" из управления "К", при каждом чихе в Рунете. Удачи.

     
     
  • 3.43, unknown (??), 17:30, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    поди проспись, вася
     
     
  • 4.58, Аноним (-), 18:06, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что такие возражения сразу?

    Шальной снаряд попал в воронку управления "К"?

     
  • 4.61, Аноним (-), 18:25, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Васю позавчера посадили. В Японии. За хранение вируса.

    Немного об этом есть здесь:
    http://www.3dnews.ru/software-news/631948

     
     
  • 5.90, СуперАноним (?), 20:32, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хорошая трава у японских законодателей. Это же сколько пользователей Шиндошс можно привлечь "за хранение" ? :))
     
     
  • 6.109, Sergey722 (ok), 10:51, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж... Касперского тоже посадить.
    У вас есть дома яд - в тюрьму. Нож - туда же.
     
  • 3.50, Аноним (-), 17:46, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Женя Касперский, перелогинься. И прими вечернюю порцию таблеток заодно.
     

  • 1.17, тазовод (?), 16:08, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    хочу запустить, где бы найти урл? Обязуюсь кликнуть на описанных попап-вопросах "запустить".
     
  • 1.19, Аноним (-), 16:11, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >рассчитывается, что пользователь ... согласится с выполнением операции

    Расходимся.

     
     
  • 2.26, ааноним (?), 16:29, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>рассчитывается, что пользователь ... согласится с выполнением операции
    > Расходимся.

    Как сказать, вирус и не рассчитан на тех, кто будет проверять, что это тут использует ключи из недоверенных сертификатов, а на тех, кто просто юзает линуксы, не вдаваясь в такие подробности, могу отметить, что такие окошки не такая редкость при хождении по интернетам, рядовой пользователь по привычке может не обратить особого внимания

     
     
  • 3.44, Frank (ok), 17:33, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У рядового линукс-пользователя и ява-машина скорей всего не установлена.
    Ну и не называйте вирусом то, что им не является (не имеет механизма самораспространения без участия пользователя).
     
     
  • 4.103, ааноним (?), 23:55, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > У рядового линукс-пользователя и ява-машина скорей всего не установлена.
    > Ну и не называйте вирусом то, что им не является (не имеет
    > механизма самораспространения без участия пользователя).

    Мы все тут понимаем, что это не вирус, только как мы сможем убедить в этом юзверя, которого поломали? Ну а JAVA и у меня в генте стоит, просто есть необходимость для работы пары приложений, и я вынужден ставить её просто на всякий случай своим клиентам, как и многие другие вещи, ибо вопросов по рядовому юзанию у них и так хватает первое время, а если будет так много всего, что не работает (с этим и так проблемы некоторые) то о распространении линукса на дом. компы и речи быть не может, а у меня помимо идейных сугубо корыстный интерес есть ;)

     
     
  • 5.123, ананим (?), 13:14, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Мы все тут понимаем, что это не вирус, только как мы сможем убедить в этом юзверя, которого поломали?

    а есть такая необходимость?
    если есть, не ставьте им дырявые программы бай дезигн. и начните с плагинов.

     
  • 3.86, Аноним (-), 20:16, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это не вирус.
     

  • 1.20, Аноним (-), 16:12, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Комментаторы к новости доставляют.
     
  • 1.21, Аноным (ok), 16:21, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Опять вирусню нужно самому ставить, сколько можно уже постить про это?
     
     
  • 2.69, Аноним (-), 18:59, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не вирус
     
     
  • 3.95, Аноним (-), 20:48, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    это касса^W программа взаимопомощи
     
  • 3.114, Аноним (-), 11:38, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не вирус

    Это вирус с линуксовой спецификой. Распространяется тоже сам, но немного иными методами, чем виндовые.

     

  • 1.28, Аноним (-), 16:35, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Где можно опробовать ?
    Какая джава ему нужна, и подходит ли OpenJDK ?
    Почему я должен соглашаться с принятием сертификата где нибудь кроме клиент-банков, где обычные юзеры не сидят? А там где сидят дважды спросят админа почему он сайт банка опять спрашивает сертификат.
    От такого "вируса" и пользы-то не много.
    На сайт со статьей даже не заходит, ссылку мне ссылку !
     
     
  • 2.32, Аноним (-), 16:46, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ок, сайт открылся. Моя смеятся.
    >The MacOSX sample is a PowerPC binary, as such, executing the file in an Intel-based platform will require Rosetta.

    И вообще, где скриншоты с линя ? По сути никто реально не пострадает от этого. Юзеров которые тупо тыкают шото когда браузер оповещает нет. На линуксах уж точно. На винде всех родных и друзей давно научил образать на такое внимание и не соглашаться с чем попало. Какая никакая компьютерная грамотность по-тихоньку у всех повышается, такие вирусы не пройдут.

     
     
  • 3.35, ананим (?), 16:54, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в том то и дело, что это не вирус, а, как в сабже собстно и написали, вредоносное ПО.
     

  • 1.29, Аноним (-), 16:35, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Пожалуй напишу ка я кросплатформенную программку на Java которая в Windows делает format C:, а в linux rm -R \. Ну и конечно пользователю конечно нужно будет согласится с действиями программы. Буду распостранять ее через интернет, может новость об вредноп ПО запилят, а Онанимы начнут кричать об уезвимостях в <зачеркнуто>головах людей</зачеркнуто> Java/Браузерах.
     
     
  • 2.40, Maresias (ok), 17:07, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > начнут кричать об уезвимостях в <зачеркнуто>головах людей</зачеркнуто> Java/Браузерах.

    Ну, Java - действительно решето. И опеннет об этом постоянно пишет, например http://www.opennet.me/opennews/art.shtml?num=33521 Просто надо спокойно, хладнокровно, не теряя достоинства и не опускаясь до холиваров, объяснить народонаселению, что в линуксах без согласия пользователя сабж не запустится, вот и все дела. Примерно так: не жмакайте на подтверждение во всех выскакивающих запросах подряд, будьте внимательны - и ничего не случится.

     
  • 2.89, Michael Shigorin (ok), 20:24, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > rm -R \.

    Текущий каталог (".") эскейпить ("\") незачем.  Да и пишутся кроссплатформенные с двумя "с" хотя бы...

    Почитайте bash conspect?

     
     
  • 3.104, ааноним (?), 23:59, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> rm -R \.
    > Текущий каталог (".") эскейпить ("\") незачем.  Да и пишутся кроссплатформенные с
    > двумя "с" хотя бы...
    > Почитайте bash conspect?

    он ещё и --force (-f) забыл, и то, что лучше передать в качестве пути переменную домашнего каталога

     
     
  • 4.110, Аноним (-), 10:51, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо за конструктивные дополнения, теперь мое вредоносное ПО будет неуязвимое.

    Специально для:
    >"2.94, Аноним, 20:47, 11/07/2012" сразу видно пользователя с виндовсом головного мозга

    <сарказм>...</сарказм> в том числе и слеш, как саркастичное подчеркивание высшего качества.

    Ваш комментарий меня оскорбил, не потому как более 15 лет пользователь и разработчик под Linux, а потому как ... головного мозга. У Вас, видимо, у самого или ПГМ или ХГМ или еще какой либо ...ГМ.

     
  • 2.94, Аноним (-), 20:47, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сразу видно пользователя с виндовсом головного мозга
     
  • 2.127, Аноним (-), 14:03, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    вы не сможете выполнить format c: если с c: у вас запущена система
     
     
  • 3.128, Аноним (-), 14:17, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Еще и Вам отвечу, что это сарказм. Жаль написав, что это сарказм, уже не так саркастично.
     
  • 3.136, Maniaq (ok), 22:07, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вы не сможете выполнить format c: если с c: у вас запущена
    > система

    но DISKPART /s diskpart.txt, где в diskpart.txt такие команды:
    SELECT DISK 0
    CLEAN
    CREATE PART PRI
    SELECT PART 1
    ACTIVE
    ASSIGN
    FORMAT FS=NTFS QUICK
    EXIT
    запросто вам все снесет с диска 0, будь он хоть трижды системный, загрузочный или еще какой. не уверен на тему формата, а очистку таблицы разделов получите.

     
  • 3.142, XoRe (ok), 02:06, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вы не сможете выполнить format c: если с c: у вас запущена
    > система

    Если прописать в автозапуск, то....)
    А ещё в 9x была прикольная программа deltree.
    Запуск "deltree c:\windows" удалял бОльшую часть каталога, делая систему уже незагружаемой.
    В принципе, можно написать аналог.
    Скорее всего, не детектируемый никакими антивирусами.

    В linux все проще: echo "rm -rf ~/*; rm -rf ~/.*" | bash, ну или >> ~/.bash_rc
    За это я и люблю linux - за простоту решений =)

     
     
  • 4.148, Аноним (-), 11:00, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В linux все проще: echo "rm -rf ~/*; rm -rf ~/.*" |
    > bash, ну или >> ~/.bash_rc
    > За это я и люблю linux - за простоту решений =)

    А вдруг у меня не баш?

     
     
  • 5.155, XoRe (ok), 00:29, 15/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> В linux все проще: echo "rm -rf ~/*; rm -rf ~/.*" |
    >> bash, ну или >> ~/.bash_rc
    >> За это я и люблю linux - за простоту решений =)
    > А вдруг у меня не баш?

    Вы попадаете в элитарный 1%, не затронутый вирусом)
    С bashrc - это просто пример.
    Если кто-то начнет ваять вирус, то он может не полениться и обыграть все возможные события для sh/bash/tcsh/zsh/ipython/..., вплоть до ~/.xinitrc

     
  • 4.152, Michael Shigorin (ok), 20:16, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > ну или >> ~/.bash_rc

    $ man bash | grep bash_rc
    $ _

     
     
  • 5.154, XoRe (ok), 00:26, 15/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> ну или >> ~/.bash_rc
    > $ man bash | grep bash_rc
    > $ _

    Да, точно, ~/.bashrc

     

  • 1.64, Sluggard (ok), 18:34, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Цифровая подпись сформирована с использованием самодельного сертификата, поэтому перед запуском пользователю выводится надлежащее предупреждение (рассчитывается, что пользователь его проигнорирует и согласится с выполнением операции).

    На то, что пользователь эту хрень сам соберёт из исходников и руками разрулит зависимости, не рассчитывается, не? А может я вообще этим вирмейкерам сразу данные своих кредиток перешлю, а то они перетрудятся, бедняжки. )))

     
  • 1.67, piteri (ok), 18:52, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О! вирусописатели продвинулись, этот даже не обязательно собирать из исходников.
     
  • 1.68, pavlinux (ok), 18:56, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А по-моему новость  полная х...я, на этом сайте устанавливается TV-плеер,
    причём юзера об этом предупреждают! Предупреждает и сам жаба плугин.

    По этому надо трижды подтвердить запуск.

    Во-вторых, оно копируется в /tmp, который,
    уже стотыщь питсот раз говорили, монтировать с опцией noexec

      

     
     
  • 2.70, Аноним (-), 19:02, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > уже стотыщь питсот раз говорили, монтировать с опцией noexec

    Нужно чтобы это поддерживалось в дистрибутиве.
    В дебиан например оно начинает ругаться при обновлении initrd


     
     
  • 3.71, Аноним (-), 19:04, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И вообще линуксячьи дистрибутивы о безопасности как-то плохо заботятся

     
     
  • 4.73, teocally (?), 19:09, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вброс не засчитан! :)
     
  • 4.107, pavlinux (ok), 03:52, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    У дебиана политика такая, там всё самому надо:
    В частности тут: http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html#s4.9
    В общем тут:  http://www.debian.org/doc/manuals/securing-debian-howto/

    Да кто ж их читает, все хотят Видовз-лайк-супер-сервер-искаропки :)

     
  • 2.84, AlexYeCu (ok), 19:58, 11/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Во-вторых, оно копируется в /tmp, который,
    >уже стотыщь питсот раз говорили, монтировать с опцией noexec

    И каждый раз перемонтировать без этой опции для установки проприетарных игрушек и дров nvidia.

     
     
  • 3.115, Аноним (-), 11:40, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > И каждый раз перемонтировать без этой опции для установки проприетарных игрушек и дров nvidia.

    Если вы их юзаете - значит, вы и так не паритесь по поводу троянов и бекдоров в своей системе.

     
     
  • 4.125, AlexYeCu (ok), 13:54, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне, как бы, нужен работающий компьютер, а не алтарь для поклонения. Нормальных видеокарт с достаточной для моих нужд производительностью и с открытыми дровами на сегодня в продаже просто нет. Что касается более-менее популярных  игр, то там трояны маловероятны. Я так думаю, встретить их там не проще, чем вляпаться в уязвимость опенсорсного продукта.
     

  • 1.74, fmpdfs (?), 19:26, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Анализ безопасности операционной системы выявил уязвимость в пользователе.
     
     
  • 2.143, XoRe (ok), 02:08, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Анализ безопасности операционной системы выявил уязвимость в пользователе.

    Вылечить - удалить пользователя и все его файлы.
    И зажить нормально, без вирусов и пользователей)

     

  • 1.76, Anonim (??), 19:27, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Троян то в итоге успешно функционирует хот в каком-нибудь линуксе?
     
  • 1.79, ананим (?), 19:33, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Айзен написал.
    На жабе, кривое, бзд не указано, расчитано на доверчивость,… айзен, больше не кому.
     
  • 1.80, Аноним (-), 19:34, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Госпади, нашли из-за чего волноваться.
    Если мозгов нет, то никакая ОС не поможет, это всем известно.
     
  • 1.88, paulus (ok), 20:17, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Антивирусной компании F Secure написала явабяку и сообщила о ней чтобы пропиарится.
     
  • 1.97, Аноним (-), 21:08, 11/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А он явы просит установить в случае фэйла?
    Уведомляет о зависимостях?)
     
     
  • 2.144, XoRe (ok), 02:09, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А он явы просит установить в случае фэйла?
    > Уведомляет о зависимостях?)

    В MacOS просит установить программу Rosetta, чтобы запустить вирус.
    Просто он написан под PowerPC, а уже N лет в маках интел.
    Так что... хотите вирус, ставьте зависимости =)

     

  • 1.108, Аноним (-), 08:38, 12/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо КЭП!
    С выходом из пещеры за последние 2 года!
     
  • 1.116, ua9oas (ok), 11:45, 12/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Запрашивает Миша Рыцаревъ: а не выявлен ли тот, кто это вредоносное ПО придумал? (когда придумали?) И если выявить удастся, то удастся ли тогда привлечь виновных к ответственности?
      Может ли быть так, что это редоносное ПО придумал кто не один а более? Как много кого от этого пострадало?
      В состоянии ли антивирусы защитить от этого? (или могут пропустить?) Если есть такое заражение, то тогда как определять его наличие вручную? (например как увидеть с помощью другой ОС из livecd? Может ли это определять инструмент вроде утилиты "AVZ"?). Помогут ли обновления ядра, браузеров или другого ПО устранить уязвимость от таких угроз? (а как много существует таких угроз?)
     
     
  • 2.118, Аноним (118), 13:03, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Смысл задавать вопросы на ответ которых, в первую очередь, можешь повлиять ты с... большой текст свёрнут, показать
     
     
  • 3.119, тень_pavel_simple (?), 13:06, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Помогать недальновидным людям не имею никакого желания.

    Рыльца Мишарев толстый троль, ! Не кормить !

     
     
  • 4.122, Michael Shigorin (ok), 13:14, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да не тролль он, просто наивный очень.  Как ребёнок.  IMHO.
     
  • 2.149, mic_nfnjkbnvjbv (?), 14:39, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Миша, почитайте классическую литературу по ИТ. Вы молод и ещё многое сможете достичь. Берите пример из хороших книжек, а не из негативных новостей о вирусах.
    Антивирус может многое пропустить, так как нацелен на обнаружение популярных известных вирусов.
    Обновления ядра желательно всегда устанавливать, но если некогда или очень-очень критичный процесс, читайте раздел "Secutrity Advisory" для своей ОС с описанием известных уязвимостей и думайте, актуально ли для вас или вашей организации то или иное обновление. Если да - тогда устанавливайте.
    Браузер лучше держать обновлённым, если процесс обновления не длится очень долго.
    Угроз существует очень много, но если вы выделите главное, от чего можете пострадать и примите меры - будете спасены. Например, что опаснее - когда хакер получает контроль над компьютером, где вы смотрите фильмы, или над другим компьютером, где вы выполняете важную работу?
     
  • 2.150, mic_nfnjkbnvjbv (?), 14:41, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я обращаюсь к Михаилу Рыцареву. Скажите, Михаил, какой операционной системой вы пользуетесь?
     

  • 1.120, Yuka (ok), 13:07, 12/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это мне для вредоносного ПО прийдеться еще яву ставить?
     
     
  • 2.124, ананим (?), 13:18, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, и ещё заставить этот плагин запускаться.
    говорят иной раз nspluginwrapper помогает.
    а потом ещё ключи самописные принять.

    вот когда это всё проделаете — вы счастливый обладатель трояна.
    посмотреть как он работает можно так:
    # netstat -atnp

     
     
  • 3.132, Yuka (ok), 16:22, 12/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > говорят иной раз nspluginwrapper помогает.

    и такого добра в системе не обнаружено

     

  • 1.137, hhg (ok), 23:22, 12/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    тьху, здрасьте! Йа не страаашный вирус. Удалите ВСё со сваих дисков и перешлите меня всем, каму смагёте!

    :)

     
  • 1.146, Аноним (-), 10:34, 13/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > сообщили об обнаружении в диком виде вредоносного ПО

    0_0 Где-то помню прочитал фразу "вирусы мутируют в сети". Долго смеялся. А теперь вот "в диком виде". Какие-то жирные тролли помоему эти F Secure.

     
     
  • 2.151, Michael Shigorin (ok), 20:13, 13/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    "in the wild" -- обычная формулировка применительно к malware; означает наблюдаемое наличие работоспособных экземпляров на местности, а не только в лабораторных условиях или на чёрном рынке.
     
     
  • 3.153, Юрий (??), 11:47, 14/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нет товарищи, это уже не смешно. Если действительно есть какой-то вирус который способен "крушить" сразу 3 ОС, то автору из-за уважения к публике надо было бы ссылку дать хотя бы... или команду для установки из репозитиев. Если не для таких как я пользователей, то хотя бы для пользователей Убунту: apt-get install вирус_такой_то. А то такое историческое событие тихо умирает на opennet.ru, а мы даже не знаем откуда взять этот самый вирус чтобы в научном архиве разместить. Судя по тому, что автор написал, что вирус якобы "может_все" он явно забыл о том, что надо не только разрешения у браузера спрашивать, но и разрешение у товарища root. Что говорит о... низкой компьютерной линуксовской грамотности самого автора новости... Ни ссылки на вирус - ни способа как он обходит root-ограничения... Хотя нет, сегодня не первое апреля...
     

  • 1.156, Миша (??), 07:27, 18/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чушь а не статья, новость высосана из пальца, таких "ОМГ!!! вредоносное ПО, поражающее Windows, Mac OS X и Linux" на Java можно сколько угодно наделать, легко и быстро. И знаний особых не понадобится.
     
  • 1.158, tehnikpc (ok), 19:10, 25/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Надеюсь на FreeBSD этот троян не работает, а то антивирус ещё не установил.
     
  • 1.159, sashakrasnoyarsk (?), 10:20, 10/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ...что ещё раз подтверждает, что заражено может быть всё, что только поддерживает запуск и передачу информации.
     
  • 1.160, sashakrasnoyarsk (?), 10:21, 10/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Напомнило:
    Hi! I'm a .signature virus. Please, copy me to your .signature file! :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру