http://www.zago.eti.br/virus2.txt Continuação do FAQ virus.txt em: http://www.zago.eti.br/virus.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ************************************************* ************************************************* De: Lisias Toledo Para: Ricardo Castanho de Oliveira Freitas Cc: lista Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 13:51:03 -0400 Ricardo Castanho de Oliveira Freitas wrote: > Virus afetam pessoas... > Virus e worms podem afetar um sistema linux.... > Virii.... afeta os usuários..... > > hm, ainda não entendi direito este negócio de virii.... Desculpe-me... No meio do pega-pra-capar, deixei o tecnoburacratês vazar... X-) Virii é o pluram em latim para virus (que por sinal é um nome em latim). É jargão usado na scene dos virusmakers. ************************************************* De: Lisias Toledo Para: apsantos , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 14:39:46 -0400 ecoado para a linux-br (provavelmente era o que vc queria anyway) apsantos wrote: > Antes de tudo quero dizer que sou iniciante. Faça agora a pergunta, alusiva à esta > questão de vírus. Quer dizer que um superusuário, com privilégios de "root", tem > mais chances de pegar um vírus do que um que seja um usuário comum, com menos ou > poucos privilégios? Sim. Um sistema Linux com usuário logado em root é basicamente um Windos98 que fala POSIX. O root tudo pode, tudo faz, e qualquer programa que ele rode herda estes direitos. Se o infeliz do root roda um programa infectado com um virus, então o vírus vai rodar com privilégios de root, e vai poder fazer tudo (e até mais) que um virus de Windows95/98/Me faz. Dentro daquele papo todo dos meus emails, o filesystem está escancarado para o root. > É isso mesmo ou entendi errado? Em todos os casos, de que modo > essa contaminação ocorreria? Vc entendeu certo. Logar como root é perigoso se vc não tem completo e absoluto controle sobre os binários que estão no sistema. Uma eventual contaminação não é trivial (porque poucas pessoas, ao menos hoje em dia, arriscam a brincar de root o tempo todo - as próprias distros desencorajam esta prática), mas se ocorrer, o danado faz qualquer coisa. Rodar programas contaminados (em disquete, CD, ou baixados da Internet) é a via padrão de contaminação, mas tbm existem falhas de seguranças nos aplicativos que podem ser exploradas. Uma técnica de "dominação" remota usada é o tal do "root-kit", que é um trojan que se aproveita de uma falha de um programa com setuid root (ele roda como se tivesse sido chamado pelo root), e que sai trocando um monte de binários de sistema. > Ademais, gostaria de saber os possíveis cenários em que um usuário do Linux > (independentemente dos privilégios que possa ter) poderia ser contaminado por vírus. > E que políticas preventivas poderiam ser adotadas para reduzir (ou até eliminar) > tais riscos. Sempre que vc roda um binário que vc não sabe quem compilou vc teoricamente corre este risco. Às vezes, mesmo quando vc sabe a precedência : tivemos uma pacote (OpenSSL, IIRC) comprometido com um trojam no ftp oficial de um dos BSDs... Enquanto os programas estiverem rodando dentro de um ambiente controlado, os danos são limitados. Por isto é pratica comum criar um "usuário" para cada daemon do sistema, e manter os privilégios de acesso restrito aos arquivos que este daemon manipula : se ele for comprometido, o estrago se limita à ele e seus arquivos de dados. Uma regra básica para adquirir binários com segurança (mas não que seja garantido - nada na vida é) é usar as mesmas regras que vc usar para adquirir comida. Eu não compro comida de qualquer um. ************************************************* De: crg Responder-a: crg3k@terra.com.br Para: linux-br@bazar.conectiva.com.br Cc: Lisias Toledo Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 09:15:42 -0300 On Terça 08 Outubro 2002 06:35, Lisias Toledo wrote: > Diga-se de passagem, as vulnerabilidades no Linux possuem uma tendência > de serem corrigidas mais rápido. A abordagem tambem eh importante, no Linux quando encontramos um ponto vulneravel procuramos corrigir essa vulnerabilidade, no Windows o antivirus fica vigiando para ver se algum programa vai tentar usar a vulnerabilidade ou pior ainda fica esperando para ver se encontra aquele codigo que explora a falha. O efeito disso eh que como a vulnerabilidade nao foi corrigida outro codigo que consiga enganar o antivirus pode se aproveitar da mesma vulnerabilidade. Dai temos varias versoes do mesmo virus rodando por ai. Se nao me engano o problema do OpenSSL que permitia a infeccao foi corrigida ja tem quase um mes. Abracos! -- CRG Linux user: #76132 GPG Key ID 65F2187D Libertas pecunia lui non potest. ************************************************* De: Ricardo Castanho de Oliveira Freitas Para: Lisias Toledo Cc: lista Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 08:34:44 -0300 Em Ter 08 Out 2002 02:58, you wrote: > alguem (eu não!) escreveu: Ah! deixa ver se entendi... Virus afetam pessoas... Virus e worms podem afetar um sistema linux.... Virii.... afeta os usuários..... hm, ainda não entendi direito este negócio de virii.... Mas, nao entendi de onde vem **virii**......, Mesmo depois de tanta aula de medicina aplicada ao LINUX! > Gente desinformada noticia besteira, e como mentiras repetidas à > exaustão tendem a virar verdade, as pessoas COMUNS fazem confusão. Ah! Só estao matando o Latim.... afetando sistemas operacionais..... e Confundindo as pessoas COMUNS....! ;-) Virii... hum....será que virou jargão? []s Ricardo Castanho > Pow! Mesmo leigos sabem diferenciar uma verminose de uma gripe!! Depende...tem até 'baixalerado' em leiguíce! -- ************************************************* De: Lisias Toledo Para: Thiago Pimentel Cc: Depto de Tecnologia - Höfig , Linux-br Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 01:38:44 -0400 Thiago Pimentel wrote: > > 8/10/2002 00:53:03, Lisias Toledo > wrote: > >SETUID do bomber. Eles nunca tomarão conta do sistema, à > menos que o > > Acho q vc quis dizer uid. Isto tbm. O SETUID é uma forma do binário ter outra permissão que não a do usuário. Programas que exigem SETUID de root são um perigo (como os binários do DOOM da ID, por causa da SVGALIB que durante muito tempo exigia root para funcionar). > Premissa 1: o Linux tem permissões de arquivo por usuário > logo a ação dos vírus é limitada. Yap. > Adendo 1: o Windows para servidores e as versões mais > recentes baseadas em kernel NT também tem permissoes de > usuário logo a ação do vírus também é limitada. Yap. Eu nunca afirmei que o Windows NT é frágil contra vírus. Eu sempre afirmei que o Win9x é. > Adendo 2: o Windows ocupa 98% da base instalada mundial. > Adendo 3: o Linux ocupa menos de 2% da base instalada > mundial. Yap, desde que estejamos falando do Desktop. > Adendo 4: está provado que pode-se fazer worms para Windows e > IIS. > Adendo 5 está provado que pode-se fazer worms para Linux e > Apache. Pensei que vc estivéssemos falando de vírus, mas vá lá. 1/2 Yap. > GOTO Conclusão. Worms são uma praga que empesteiam a Internet. Embora 50% dos servidores Web rodem Linux/Apache, temos 1600 ocorrências de contaminção de worms no Linux/Apache. Ao mesmo tempo tendo menos da metade dos servidores web no mundo, a dobradinha Windows/IIS respondeu por dezenas de milhares (talvez centenas) de ocorrências ao ano. GOTO Conclusão. > >Até que alguém faça uma besteira muito grande (e discreta) > no Kernel, > >vírus no Linux são inviáveis. > > Isso não tem nada a ver com kernel. Só tem à ver com o Kernel, uma vez que ele é quem controla o acesso ao filesystem e à memória do sistema, recursos indispensáveis para a proliferação descontrolada de vírus. Sem filesystem, um vírus não se perpetua. Sem acesso à memória do sistema, um vírus não infecta o sistema. Quem controla memória e filesystem? O kernel. Parece piada, mas é simples assim. > Conclusão: O fato de existirem menos vírus para Linux do q > para DOS/Windows se deve simplesmente ao fato do Linux ser > muito menos usado. Isto é verdade. Mas o número de ocorrências no DOS/Windows não diminuiu mesmo com o kernel NT caminhando para a predominância, o que quebra a sua argumentação de que o Linux é tão inseguro (ou mais) que o Windows. > Não tem nada a ver com permissões de > arquivo pq, ficando por isto, o sistema de permissões de > arquivos do Windows NT+ é muito mais avançado. Tem tudo à ver com o sistema de arquivo, pelos motivos que já expliquei. E ter permissões mais avançadas não melhoram o segurança contra vírus - basta um readonly inexpugnável para bloquear o mais maléfico dos vírus. O futuro dos códigos maliciosos estão nos worms. Já que o sistema está se tornando impenetrável, o jeito é avacalhar com os arquivos do usuário. O que não é má idéia, já que o valor de um sistema está quase todo nos arquivos de usuários - sem eles, para que ter computador? Os vírus mais tenebrosos hoje em dia visam o outlook por este motivo. O alvo agora são os aplicativos, não mais o sistema. > Resposta à minha pergunta: é Negação. A minha resposta é : falta de informação. -- ************************************************* De: Lisias Toledo Para: Thiago Pimentel Cc: Depto de Tecnologia - Höfig , Linux-br , Luiz Antonio Cassetari Vieira Filho Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 01:58:28 -0400 Thiago Pimentel wrote: > Isso do Linux e as pragas de email são worms. FWIW, virus e > worm hoje em dia sao quase a mesma coisa. Nope. Esta confusão tem a mesma semente da hacker/cracker/defacer. Gente desinformada noticia besteira, e como mentiras repetidas à exaustão tendem a virar verdade, as pessoas COMUNS fazem confusão. Mas todo técnico que honre as calças (ou saias) que veste tem a obrigação de diferenciar uma coisa da outra. Uma regra minimalista (e falha), mas útil: Vírus infectam o sistema, fazendo-o trabalhar para si (como os vírus infectam seres vivos). Um caso bom para a analogia é a herpes, que se confunde com o DNA do infectado. Outro são os retro-vírus, que fazem com que o organismo se desintegre. Worms infectam aplicativos, fazendo-os trabalhar para si. Como a lombriga (que parasita somente o intestino), sua ação é localizada e facilmente indentificada e eliminada. Não que não deixem seqüelas... Trojans são todo e qualquer programa que faz uma coisa (normalmente ruim) enquanto finge (ou até faz) outra. Eles são muito usados como vetores de vírus e worms. Nestes casos usamos o termo bomber, porque ele leva e solta seu "payload" no alvo, como os baberdeiros aliados na 2ª Grande Guerra. Qualquer semelhança com o Cavalo de Tróia (Trojan Horse), **NÃO** é mera coincidência. Da mesma forma que um médico não pode confundir o Taenia Solium com o Ebola (ou nem mesmo o Ebola-Zaire com o Ebola-Reston!!!), um técnico em informática não deveria confundir virii com worms. Pow! Mesmo leigos sabem diferenciar uma verminose de uma gripe!! -- ************************************************* De: Thiago Pimentel Para: Lisias Toledo Cc: Depto de Tecnologia - Höfig , Linux-br Assunto: Re: (linux-br) Virus no linux Data: 06 Nov 2002 04:14:24 -0300 8/10/2002 02:38:44, Lisias Toledo wrote: >Pensei que vc estivéssemos falando de vírus, mas vá lá. 1/2 Yap. Pq um worm de Outlook é vírus e um worm de Apache não é? >Ao mesmo tempo tendo menos da metade dos servidores web no mundo, a >dobradinha Windows/IIS respondeu por dezenas de milhares (talvez >centenas) de ocorrências ao ano. Esquece vc do detalhe que essa estatística dos 50% de servidores web do mundo serem Linux é furada, pois essa contagem é feita por DOMÍNIOS, não HOSTS FÍSICOS, e o uso do Linux é maior em empresas de webhosting onde claramente se percebe que uma máquina atende por dezenas ou centenas de domínios diferentes. O Windows NT+ é mais usado em sites de e-commerce e institucionais onde não há necessidade/viabilidade/segurança de manter mais de um domínio hospedado na mesma máquina. >Só tem à ver com o Kernel, uma vez que ele é quem controla o acesso ao >filesystem e à memória do sistema, recursos indispensáveis para a >proliferação descontrolada de vírus. Não seja pedante. Não é função do kernel barrar acesso a funcoes de uso esperado das aplicacoes userland. Modificar, apagar arquivos e propagar-se pela rede são tarefas normais e esperadas que uma aplicação userland faça, e é exatamente isso que o vírus/worm faz, pq é exatamente isso que ele é. Um kernel não é nenhuma entidade mágica q diferencia um binário qualquer de um vírus e até onde eu saiba a Computer Associates nunca lançou um kernel Linux com módulo do McAfee instalado. >argumentação de que o Linux é tão inseguro (ou mais) que o Windows. Não é argumentação de lista de discussão. Isso é fácil fazer. Eu trabalho com segurança e essa é a conclusão q chego dada a amostragem de instalações que tenho visto por aqui. A questão da segurança geral de um pro outro é questão apenas de volume, não de qualidade geral. >A minha resposta é : falta de informação. Ok, então eu sou desinformado e não sei de nada. Good point. --------- PS: respondendo à outra mensagem para economizar email: Lísias, vc tomou chá de cogu e tá soltando massa cinzenta pelo nariz. Vc diz sobre a diferença de um worm para um vírus: "Vírus infectam o sistema, fazendo-o trabalhar para si" "Worms infectam aplicativos, fazendo-os trabalhar para si." Se o vírus infecta o sistema, e no mesmo email vc distinguiu sistema de aplicativos, deve deduzir-se que sistema = kernel e aplicativos = userland. O código malicioso q afeta o Apache não afeta o kernel do Linux, ótimo, segundo a sua definicao nao é virus, é um worm. Dado que os vírus de Outlook não infectam o kernel do Windows e sim a userland (aplicativos e arquivos de usuários), pela sua propria definicao o vírus de Outlook não é um vírus, é um worm. Mas vc diz: "Os vírus mais tenebrosos hoje em dia visam o outlook por este motivo. O alvo agora são os aplicativos, não mais o sistema." Ok, do q vc tá falando então, de vírus ou de worm? afinal, explica de novo o que é vírus e o que é worm, pq vc deu duas definicoes diferentes para a mesma coisa em dois emails com menos de meia hora de intervalo cada. Extendendo um pouco a sua definição: vc falou que o setuid dos binários seria um perigo, e se os virus no Linux barram nas permissoes, e os arquivos suid rodam com permissoes superiores, então é um perigo para a proliferacao de virus. Ok, há alguns anos atrás surgiu um vírus (ou seria worm? tanto faz, a maioria deles até hj se aproveita do suidperl mesmo) para Apache que se aproveitava do suidperl, q obviamente roda como root. Agora vejamos: se o virus/worm usava o suidperl para rodar como root, então ele é um worm pois está usando um recurso da aplicacao perl (rpm -qf `which suidperl`). POR OUTRO LADO, os vírus/worms de Outlook usam o recurso da aplicação WSH (Windows Scripting Host, interpretador de linguagem VBS/JS do Windows) para ler endereços do address book (outra aplicacao). Os dois usam recursos das aplicacoes, nenhum infecta o kernel (sistema, segundo sua diferenciacao). Então pq o segundo ainda é um vírus e o primeiro não? Se vc ainda concorda com a sua explicação, significa q vc está errado. E se não concorda, significa q além de estar errado vc está em contradição e não sabe nem o que é uma coisa, nem outra. Vc diz isso, e Kiss The Blade é que é o sujeito desinformado, leigo e que não honra as calças. Ora ora, deixa eu dormir q ganho mais. P.P.S.: sabe o q eu acho? Acho q todo esse papo de justificar segurança superior do Linux contra virus com permissao de arquivo é coisa de newbie deslumbrado que viu permissões pela primeira vez na vida quando instalou o cd da revista Geek. Flame away. -- O que não me mata me torna mais forte. ************************************************* De: Thiago Pimentel Para: Lisias Toledo Cc: Depto de Tecnologia - Höfig , Linux-br Assunto: Re: (linux-br) Virus no linux Data: 06 Nov 2002 04:38:47 -0300 6/11/2002 04:14:24, Thiago Pimentel wrote: >P.P.S.: sabe o q eu acho? Acho q todo esse papo de justificar Condensando meu ponto de vista: um vírus é uma APLICAÇÃO. Nao existe nada de inerente ao kernel Linux que impeça um vírus de executar o que uma aplicação faz, pq não existe nada inerente ao kernel Linux que identifique a aplicação como sendo maliciosa ou não. O kernel Linux executa BINÁRIOS. Ele não tem como saber qual a intenção do binário. O binário que modifica arquivos, deleta arquivos seguindo um padrão e se propaga por uma rede pode ser tanto um vírus/worm como um programa de manutenção periódica feito por um administrador. Restrições por restrições, os sistemas modernos de todos os fabricantes tem os mesmos recursos para restringir acesso malicioso, mas nenhum deles (pelo menos os q eu conheço) tem heurística para identificar código malicioso em nível de sistema operacional. A imunidade do Linux contra vírus é igual à imunidade do Linux contra Photoshop. O Linux não é vulnerável aos vírus de Windows pela mesma razão que não roda Photoshop: não foram projetados para ele. A não ser q vc emule ;) QUALQUER sistema é vulnerável a vírus em iguais condições. QUALQUER um. O que diferencia um do outro é o número de pessoas interessadas em escrever vírus para uma plataforma ou outra, e hj em dia é muito mais interessante escrever um vírus que infecte 98% das máquinas do mundo do que 2%. -- O que não me mata me torna mais forte. ************************************************* De: Lisias Toledo Para: Thiago Pimentel Cc: Depto de Tecnologia - Höfig , Linux-br Assunto: Re: (linux-br) Virus no linux Data: 08 Oct 2002 04:38:38 -0400 Thiago Pimentel wrote: > > 8/10/2002 02:38:44, Lisias Toledo > wrote: > >Pensei que vc estivéssemos falando de vírus, mas vá lá. 1/2 > Yap. > Pq um worm de Outlook é vírus e um worm de Apache não é? Tomei do meu próprio remédio. "Vìrus" de Outloko não é vírus, é worm... X-P > Esquece vc do detalhe que essa estatística dos 50% de > servidores web do mundo serem Linux é furada, pois essa > contagem é feita por DOMÍNIOS, não HOSTS FÍSICOS, e o uso do Good point. Estou aberto aos números reais. > >Só tem à ver com o Kernel, uma vez que ele é quem controla o > acesso ao > >filesystem e à memória do sistema, recursos indispensáveis > para a > >proliferação descontrolada de vírus. > > Não seja pedante. Não é função do kernel barrar acesso a > funcoes de uso esperado das aplicacoes userland. Não seja obtuso. É TAREFA DO KERNEL evitar que aplicações userland de um usuário interfira com as de outro ou no sistema. > Modificar, > apagar arquivos e propagar-se pela rede são tarefas normais e > esperadas que uma aplicação userland faça, Excelente. Então tente apagar o vmlinuz como usuário comum. Ou faça uma aplicação userland ordinária do Unix abrir a porta 80 para escuta. Ou tente fazer uma aplicação userland interceptar as chamadas NETBIOS, para adicionar um vírus em todos os PEs que forem requisitados pela rede. Até as portas de rede são controladas. Não é qualquer um que pode fuçar nas portas menores que 1024. Este controle é implementado no kernel. A segurança do sistema **é** terefa do kernel. Tanenbaum não pode estar errado todos estes anos. > qualquer de um vírus e até onde eu saiba a Computer > Associates nunca lançou um kernel Linux com módulo do McAfee > instalado. Mas lançou equivalente no Windows. Aquele papo de "sandbox" nada mais é que isto : serviços monitorando o que os aplicativos fazem. E se vc estiver certo, e o Linux for tão vulnerável à virus quanto o Win32, um módulo do kernel provavelmente seria o local ideal para se instalar o antivirus. "everything is a stream of bytes" - Linus "todos os streams levam ao kernel" - Pink > Eu trabalho com segurança e essa é a conclusão q chego dada a > amostragem de instalações que tenho visto por aqui. A questão > da segurança geral de um pro outro é questão apenas de > volume, não de qualidade geral. É o seu ponto de vista, que reflete sua experiência de trabalho. Pode até ser, mas as informações que eu vejo por aí afirmam o contrário. > >A minha resposta é : falta de informação. > > Ok, então eu sou desinformado e não sei de nada. Good point. Não exagere. O assunto em foco era virii e worms, no que vc demosntrou realmente não estar muito por dentro. Afirmar que o kernel não possui responsabilidade nenhuma na proliferação de virii não foi exatamente a opinião mais informada que ouvi na vida. > --------- > "Vírus infectam o sistema, fazendo-o trabalhar para si" > "Worms infectam aplicativos, fazendo-os trabalhar para si." > [...] > "Os vírus mais tenebrosos hoje em dia visam o outlook por > este motivo. O alvo agora são os aplicativos, não mais o > sistema." > > Ok, do q vc tá falando então, de vírus ou de worm? afinal, Okey. Como eu disse acima, tomei do meu próprio remédio. "Vírus" de outlook são worms. My mistake. > explica de novo o que é vírus e o que é worm, pq vc deu duas > definicoes diferentes para a mesma coisa em dois emails com > menos de meia hora de intervalo cada. Eu não dei duas definições diferenes. Eu defini em cima, e usei errado embaixo. Seguindo a linha lavagem-cerebral à que até eu estou exposto, confundi eu tbm virus com worm quando falava do Outlook. Nem eu sou perfeito... X-) A propósito, eu mesmo afirmei - e vc convenientemente ignorou - que as "regras" eram minimalistas, e portanto falhas. > Se vc ainda concorda com a sua explicação, significa q vc > está errado. E se não concorda, significa q além de estar > errado vc está em contradição e não sabe nem o que é uma > coisa, nem outra. Falácia. Pode significar tbm (e de fato foi o que ocorreu) que a lavagem cerebral da mídia de chamar todo mundo de hacker, e tudo de virus, funciona. Vc está limitando as opções para viabilizar a realidade que vc quer impôr. > Vc diz isso, e Kiss The Blade é que é o sujeito desinformado, > leigo e que não honra as calças. Eu não disse isso. Eu disse que "todo técnico que honre as calças (ou saias) que veste tem a obrigação de diferenciar uma coisa da outra". Mais tarde, afirmei "Da mesma forma que um médico [...] um técnico em informática não deveria confundir virii com worms." O resto ficou por sua conta. > Ora ora, deixa eu dormir q > ganho mais. Boa noite! 8-) > P.P.S.: sabe o q eu acho? Acho q todo esse papo de justificar > segurança superior do Linux contra virus com permissao de > arquivo é coisa de newbie deslumbrado que viu permissões pela > primeira vez na vida quando instalou o cd da revista Geek. Yap. Vc tem razão. Não foi por outro motivo que eu afirmei que as permissões do FS do NT não eram mais seguras por serem mais avançadas. Basta um bit readonly inexpugnável, mano véio, e o vírus não tem onde se perpetuar. No próximo boot, ele já era. P.S.: Se o técnico não diferencia uma coisa da outra, ele instala "anti-virus" no outlook e acha que está imune à "virus" de Word... E vice-versa. Ou então começa a achar que firewall é antivirus (ou anti-trojan), ou outras temeridades do gênero - e que efetivamente acontecem mundo afora : me lembro que, em uma outra lista, uma pessoa mandou um email desesperada pedindo ajuda, pois "tão logo instalei meu firewall, metade do mundo passou a me invadir!!!"... (sigh)... Outro dia tive uma discussão com um amigo porque o firewall dele tava bloqueando o Roger Wilco (um "walktalk" de internet, muito bacana para jogos online), pois um trojan qualquer tbm usava a mesma porta e o cara então concluiu que o RW era um trojan... Putz... É o equivalente à concluir que militante do PT faz parte do Comando Vermelho, por usar camisas vermelhas!!! Até convencer o cara que focinho de porco não é tomada, rolou muita msg de ICQ e algum stress... ************************************************* De: Paulino Kenji Sato Para: Depto de Tecnologia - Höfig Cc: Linux-br Assunto: Re: (linux-br) Virus no linux Data: 07 Oct 2002 14:35:00 -0300 On Mon, 7 Oct 2002, Depto de Tecnologia - Höfig wrote: > Estive acompanhando as discussões sobre virus... e muitos usuarios > diziam não tem problema, usamos Linux. Até aí tudo bem... > Sou usuário novo do Linux... mas que dizer do artigo da PCWORLD? > ================================================= > > Sucessor do Slapper continua a atacar sistemas Linux > > A nova praga, chamada Mighty, já atacou mais de 1.600 sistemas Linux, > bem como servidores Web Apache, mundialmente, segundo um relatório > divulgado nesta sexta-feira (04/10) pelo Kaspersky Labs. Olhe os numeros 1.600 sistemas de um total de quanto? Segundo a netcraft em agosto existiam 22859123 paginas hospedados em servidores rodando apache. O que existe são 1.600 admins que não tomaram as atitudes corretas em relação a falha existente no SSL. (ou esses foram os primeiros a serem contaminados, antes do anuncio global da tal vulnerabilidade) Paulino ************************************************* De: Ricardo Igarashi Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Virus no linux Data: 09 Oct 2002 11:36:13 -0400 Lisias Toledo wrote: [corta] >Enquanto os programas estiverem rodando dentro de um ambiente >controlado, os danos são limitados. Por isto é pratica comum criar um >"usuário" para cada daemon do sistema, e manter os privilégios de acesso >restrito aos arquivos que este daemon manipula : se ele for >comprometido, o estrago se limita à ele e seus arquivos de dados. E nao e' o suficiente? ;) Vamos pensar num worm para o Linux... do tipo "Outlook". 1) Voce recebe um anexo, e acaba rodando o bicho. 2) Ele copia um executavel no seu diretorio home, e modifica o .bash_profile para rodar sempre. 3) Ele pode corromper os seus dados. 4) Ele pode corromper os que estao compartilhados, e desta forma espalhar-se pela rede (certo, normalmente o que esta' compartilhado e com permissao de escrita sao somente dados e nao executaveis, mas vamos ser pessimistas). 4) Ele pode ler o addressbook e enviar copias de si mesmo para varias pessoas. Humm, quase igual ao Win :) O grande problema e' o primeiro passo (rodar um programa)... Ai' vem uma duvida: se eu dou um duplo-clique num _executavel_ com o nome "foto_ interessante.jpg", os programas de mail veem a extensao do bicho ou veem o filetype do arquivo? Se for pela extensao (ou sufixo, para ser mais exato), nao vai funcionar. Se olharem o filetype e resolver rodar o bicho, pode complicar... Opinioes? Ricardo Igarashi E-mail: iga@that.com.br ************************************************* De: Antonio F. Zago Para: Ricardo Igarashi Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Sobre virus na lista Data: 07 Oct 2002 20:49:33 -0300 Em Dom, 2002-10-06 às 00:20, Ricardo Igarashi escreveu: > Andreas Hasenack wrote: > > >Em Fri, Oct 04, 2002 at 09:36:04PM -0300, Linuxiado escreveu: > >> E neste caso, o email partiu de "Antonio Fco. Zago" >> edu> > > > >Tem certeza? Hoje em dia, vírus que não falsifica o remetente do email > >é "lame". > > O legal e' que recebi virus do "Jorge Godoy" e do "Piter Punk", que > tenho certeza que usam Linux :) > > Interessante e' que ambas as mensagens vinham com enderecos "errados": o > do Godoy estava como "godoy@bol.com.br" e o do Piter tambem estava com > um provedor que ele nao usa (pelo menos aqui na lista). > > Parece que esse virus da' uma enganada no remetente, mas nao faco a > minima ideia do por que. Olá Eu uso Linux para enviar e receber e-mail, a explicação do Ricardo Igarashi esclarece bem o que vem acontecendo com esses virus. Entre várias contas também tenho o e-mail cptnet3@uol.com.br e nada tenho no metalab.unc.edu como indica acima, mas o e-mail do Godoy é deste servidor, o virus fez esta montagem no Outlouco contaminado de alguém da lista que ainda usa Windows. O lado bom destes virus é que cada vêz que surge uma praga destas eu consigo convencer clientes a usar Linux, o chato ainda são os bancos e programas do governo como receita, estado, caixa etc.. Somente para esclarecer, entre muitos destes e-mail, recebi um e-mail que reconheci o texto que havia analizado em uma maquina de cliente, tentei contato por e-mail e falhou, fiquei intrigado com a mensagem e entrei em contato por telefone com a pessoa responsavel pelo texto, tratava-se de assunto sigiloso da empresa, mas ela jurava que não tinha mandado a mensagem e também queria saber como a mensagem poderia ter saido de um dos dois micros, orientei a pessoa a ter mais cuidado com quem acessa a maquina e passar um anti-virus, no dia seguinte a pessoa ligou agradecendo e informando que seu micro tinha vários virus. Zago ************************************************* De: Ricardo Igarashi Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Virus no linux Data: 10 Oct 2002 11:44:00 -0400 crg wrote: >On Quarta 09 Outubro 2002 12:36, Ricardo Igarashi wrote: >> 1) Voce recebe um anexo, e acaba rodando o bicho. > >Voce nao vai rodar o virus simplesmente dando um clique nele, voce vai ter >que >salvar o arquivo e dizer para o sistema que ele eh um executavel (chmod), >isso pq quando voce salva um arquivo o Linux nao coloca a marca de executavel >automaticamente. OK, um detalhe importante que havia esquecido. Isso realmente dificulta bastante a infeccao no Linux. E' mais facil atacar bugs do sendmail ou do bind :P -- Ricardo Igarashi E-mail: iga@that.com.br ************************************************* De: Thiago Madeira de Lima Para: 'Thiago Madeira de Lima' , 'Lisias Toledo' , 'Thiago Pimentel' Cc: 'Depto de Tecnologia - Höfig' , 'Linux-br' Assunto: RE: (linux-br) Virus no linux Data: 16 Oct 2002 15:37:53 -0300 Deem uma lida nisso. ---- LinSec team is proud to announce the first stable release of LinSec. LinSec, as the name says, is Linux Security Protection System. The main aim of LinSec is to introduce Mandatory Access Control (MAC) mechanism into Linux (as opposed to existing Discretionary Access Control mechanism). LinSec model is based on: * Capabilities * Filesystem Access Domains * IP Labeling Lists * Socket Access Control As for Capabilities, LinSec heavily extends the Linux native capability model to allow fine grained delegation of individual capabilities to both users and programs on the system. No more allmighty root! Filesystem Access Domain subsystem allows restriction of accessible filesystem parts for both individual users and programs. Now you can restrict user activities to only its home, mailbox etc. Filesystem Access Domains works on device, dir and individual file granularity. IP Labeling lists enable restriction on allowed network connections on per program basis. From now on, you may configure your policy so that no one except your favorite MTA can connect to remote port 25 Socket Access Control model enables fine grained socket access control by associating, with each socket, a set of capabilities required for a local process to connect to the socket. LinSec consists of two parts: kernel patch (currently for 2.4.18) and userspace tools. Detailed documentation, download & mailing list information - http://www.linsec.org -----Original Message----- From: Thiago Madeira de Lima [mailto:junglelst@webforce.com.br] Sent: Friday, October 11, 2002 3:46 PM To: 'Lisias Toledo'; 'Thiago Pimentel' Cc: 'Depto de Tecnologia - Höfig'; 'Linux-br' Subject: RE: (linux-br) Virus no linux Meus 2 centavos.... :) E' tarefa da kernel bloquear acesso a funcoes, filesystems e devices de acordo com as permissoes do usuario. Pra que um virus se prolifere no sistema inteiro ele tem que ter acesso ao sistema todo, como root. Se a kernel bloqueia direitinho o acesso de um usuario/grupo o virus nao consegue se proliferar, nao consegue acessar a memoria ou os arquivos utilizados por outros programas, a nao ser que todos os programas sejam rodados pelo mesmo usuario. Sem esse acesso o virus ficaria limitado ao userspace do usuario que rodou o virus. Se nao foi o root que rodou o sistema continuara limpo, somente os arquivos do usuario em questao estao contaminados. Se a kernel nao bloqueia tais chamada e' pq ela esta com algum bug e isso tem que ser corrigido. Agora se o usuario consegue executar tarefas que prejudiquem o sistema (ex: estourando processos, memoria ou utilizando toda a cpu) , e' tarefa da kernel impedir isso, colocando novos niveis de controle por processo/usuario. O linux nao implementa todos os tipos de 'travas' possiveis contra um systemcrash como por exemplo o solaris implementa. (esse e' um dos motivos dele ser mais rapido que o solaris). Thiago Madeira de Lima. -----Original Message----- From: linux-br@bazar.conectiva.com.br [mailto:linux-br@bazar.conectiva.com.br] On Behalf Of Lisias Toledo Sent: Friday, October 11, 2002 1:07 AM To: Thiago Pimentel Cc: Depto de Tecnologia - Höfig; Linux-br Subject: Re: (linux-br) Virus no linux Thiago Pimentel wrote: > > 8/10/2002 05:38:38, Lisias Toledo > wrote: > > [...] É TAREFA DO KERNEL evitar que aplicações > > userland de um > > usuário interfira com as de outro ou no sistema. > NÃO É FUNÇÃO DO KERNEL bloquear acesso a funções de uso esperado por > uma aplicação! O kernel não tem condições de d ************************************************* De:  Julio Henrique Para:  rfreitas@english-quest.com.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)re: AJUDA contra Script Kids usando linux para Data:  Sat, 13 Mar 2004 14:53:19 -0300 o meu clamav disse isso: cgi: Linux.RST.B FOUND uma procurada no google por Linux.RST.B retornou este primeiro link: ----------------------------------------- Linux/Rst-B Type: Linux executable file virus Detected by Sophos Anti-Virus since February 2002. Description: Linux/Rst-B will attempt to infect all ELF executables in the current working directory and the directory /bin If Linux/Rst-B is executed by a privileged user then it may attempt to create a backdoor on the system. This is achieved by opening a socket and listening for a particular packet containing details about the origin of the attacker and the command the attacker would like to execute on the system. ------------------------------------------- bem, viruzinho velho e capenguinha, depende de um tonto com a senha de root para infectar todo o sistema. - /bin - (segundo a descrição do fabricante do antivirus...rs ) mas a melhor pergunta é : o que esse arquivo está fazendo dentro de um diretorio do terra.com ??? está sendo guardado para fins históricos??? hehehe [ ]s, julio ************************************************* De: Regis Ubiratam Candeia Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Vírus no Linux? Data: Fri, 13 May 2005 18:46:38 -0300 Historiadores acreditam que em Sex 13 Mai 2005 15:55, Monique escreveu: > Alguém sabe de algum site legal e confiável que confirme se existem vírus > no Linux ou não? > Estou com essa dúvida. Pois li vários artigos que se contradizem muito, uns > falando que não existem vírus pra linux e outros dizem que sim. > > Preciso dessa informação concreta para defender isso em minha monografia da > faculdade. > Alguém pode me ajudar? > desde já agradeço > > bjo, > Monique Encaminho e-mail que mandei para a lista ha' algum tempo atras, exatamente com esse mesmo assunto: ======== Existe sim, da' uma olhada nos sites dos fabricantes de antivirus (hehehe!). Mas acho que nao "colou", e' mais ou menos como o virus lusitano (por favor, vossa senhoria poderia abrir uma sessao de terminal como root e digitar rm -rf *). Ja' recebi informacoes pelo newsletter da NAI comentando sobre isso, mas sempre havia a advertencia de que a disseminacao de tal virus seria bem mais restrita. Acho que pela caracteristica natural do linux de trabalhar com permissoes de arquivos e diretorios, mas principalmente porque um virus para linux nao teria tanto impacto quanto um feito para os sistemas operacionais mais comuns (p. ex., a dupla DOS/Windows). Fazendo uma analogia com as pesquisas do IBOPE. Sei que existem, mas nunca fui pesquisado, nao conheco ninguem que tenha sido pesquisado, nem ninguem que conheca alguem que tenha sido pesquisado. Em resumo, nunca fui infectado no linux, seja por e-mail, rede, disquete, cartao de memoria ou seja la o que for. No windows era quase diario!!! Mesmo com anti-virus atualizado. Uma pesquisa no site da Mcafee retornou 56 resultados, veja abaixo: We found 56 record(s) matching the following criteria: Virus name containing "linux". Backdoor.Linux.Gulzan (Kaspersky) DoS.Linux.Blitz (AVP) Linux.Jac.8759 Linux.Lion.Worm (NAV) Linux.Pavid (NAV) Linux.Peelf.2132 (NAV) Linux.Ramen Linux.Ramen.Worm (NAV) Linux.Scapler.Worm (NAV) Linux/Adore.worm Linux/Alfa Linux/Amdcrash Linux/Bliss Linux/Brunfly Linux/Cheese.worm Linux/DDoS-Kaiten Linux/Devnull Linux/Ehcapa.worm Linux/Etap Linux/Exploit-CrisCras Linux/Exploit-Da2 Linux/Exploit-Honeymoon Linux/Exploit-Lsub Linux/Exploit-SendMail Linux/Exploit-Statdx Linux/Exploit-Su Linux/Exploit-Woot Linux/Fork Linux/Gulzan Linux/Kaiten Linux/Kis Linux/Kokain Linux/Lindose Linux/Lion.worm Linux/Mighty Linux/Osf Linux/Ramen.worm Linux/Red Linux/Rootkit Linux/RootKit-BTM Linux/Rpcmountd Linux/Rst.a Linux/Rst.b Linux/Seclpd Linux/Shinject Linux/Slapper.worm.a Linux/Slapper.worm.b Linux/Slapper.worm.c Linux/Slapper.worm.d Linux/Slice Linux/Snoopy.b Linux/Stumbler Linux/Typot Trojan.Linux.JBellz (Symantec) Trojan.Linux.Typot (NAV) Worm.Linux.Ramen Observe que estao listados nao apenas "virus", mas worms, exploits, trojans e outros monstrinhos, que nao sao necessariamente "virus". E por isso que acredito em lobisomem. Se existe o nome, existe o bicho... -- Regis Ubiratam Candeia Diretor de Secretaria Vara Federal de Caxias do Sul ************************************************* De: Alejandro Flores Responder A: Alejandro Flores Para: Antonio Luis Ribeiro Cc: Lista Linux-BR Assunto: Re: (linux-br)Como barrar o Worms Beagle-W no Squid Data: Thu, 5 May 2005 08:38:28 -0300 Olá, > Olá, > Tem como barrar o worms Beagle-W com o proxy Squid ou descobrir o(s) > computador(es) que esta(ão) contaminado(s)? > Sei que minha rede está com esse worms, pois um outro setor(outra Rede) > acusa o virus no IP externo do meu Firewall e como tenho mais de > cem(100) computadores não quero ficar de computador em computador até > descobrir que um usuário conseguiu inibir a atualização automática do > AntiVirus. De uma lida nesse material a respeito do virus: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.w@mm.html Nesta página tem uma lista de sites que o virus tenta contactar. Veja nos logs do seu squid que máquinas estão acessando esses sites. -- Abraço, Alejandro Flores http://www.triforsec.com.br/ ************************************************* ************************************************* ************************************************* *************************************************