Barrapunto

Acabo de dejar la noticia también, porque se me han puesto los pelos de punta. Proponía 2 cosas:
1.- Incluirlo en "Las perores noticias de la semana" de CQC.
2.- Proponer una nueva encuesta sobre cómo combatir la idiotez o los errores de traducción de algunos periodistas (para mí eso es un problema NP duro :-)

XDD Un virus que funcione bajo Windoze y Linux seria muy retorcido pero no imposible, solo hay que pensar que el virus incluya un conjunto de rutinas para leer y escribir ficheros de ext2 el cual le permita escribir un programa en ASM con sintaxis de AT&T (Con el que se programan aplicaciones en ASM bajo linux ) por ejemplo el virus puede escribir un daemon y con uid 0 (esto se puede hacer si solo se accede desde windows) ¿como hace esto? pues bajo linux un programa con un uid diferente a 0 no se lo puede cambiar a 0 porque las llamadas para escribir ficheros como passwd y shadow estan restrigidas directamente por el kernel, mientras que recordemos que bajo windoze no hay nada que impida leer y escribir otras particiones. ¿Que como se guarda el programa en programa en ASM? simple en forma de como los programadores los conocen como EGG como dicen los guiris (os suenan fuentes exploits en C que hacen cosas como *BASHCODE={"0x20","0xA0","0xB2" . . .) que es codigo ASM en hexadecimal que esta encapsulado. (
La parte mas facil es infectar windoze desde windoze, lo mas dificil es infectar linux desde linux.
Solucion: lo que dijeron anteriormente ¡no usar windows!

De la pagina de Central Command:

W32.Winux contains internal text strings. It also contains the following text: “[Win32/Linux.Winux] multi-platform virus by Benny/29A” and “'This GNU program is covered by GPL.”

Lo que no aclaran es si contiene la fuente completa...

La cadena es un poco absurda, ya que para que un software sea GNU ha tenido que ser admitido como tal por RMS, y no creo que el susodicho admita un virus dentro del sistema... :-)

Y algo que se me escapa ¿por que la casa esta no tiene soluciones para el virus en linux?

Network Associates hace algunos meses que tiene un port de Virus can a GNU/Linux. En la empresa usamos Total Virus Defense (ego no les falta) y he lo probado en una RedHat.

VirusScan supports a broad range of platforms including Win2000, NT4.0, Win9x, OS/2, Linux, HP-UX, SCO, AIX, Solaris.

franzeta, en otro comentario incluye un enlace bastante mejor en la que podrás leer que, efectivamente, afecta a los ELF. Leo en la Virus Information Library de NAI "The dropper file for this virus is in native Win32 format. When executed, it will seek PE files and Linux based files and infect them. " por lo que entiendo que la infección empieza en windows y si encuentra algún ELF lo infecta, a partir de ese momento el virus se convierte en multiplataforma.
No deja de ser curioso que el código del virus esté bajo GPL, así que si os interesa darle una hojeada lo podreis conseguir desde la web del autor.

Siempre creí que el primer virus multiplataforma estaría escrito en java. Que desilusión!

http://www.sigurd-pistor.de/viren/info/linux-winter.html

Es más tenia las fuentes por mi casa.

AVP también, para acceder via SMB a particiones windows, claro.
Saludos

acabo de acordarme de la charla de Wintermute sobre virus (o programas autoreplicantes como a él le gusta llamarles) en el Hackmeeting 2000 en Barcelona... ahí presentó Lotek un ingenio que infecta a ficheros ELF.

no "bisistema", aunque se podría usar un buffer overflow que detectara el sistema y la rutina de infeccion dirigirla a Win32 o Linux en funcion de lo q infectes.

Porque cuando yo leo el articulo pone "Este virus en cuestión ha sido escrito en un lenguaje informático denominado ensamblador. "
¿Quizás lo han cambiado?

Si, parece que se han dado cuenta de la pifia y alguien se ha encargado de corregirlo... bueno, algo es algo, no? ;)

Leí hace tiempo en PcActual que el grupo A29 (españolito él) tiene un virus de esos, capaz de infectar todos los windows y linux; lo que no encuentro es la revista en donde está.

Bueno, ahora que cada día más gente tantea Linux desde Windows, ¿no será posible que la empresas de antivirus esten hinchando el tema de posibles virus en Linux para vender?. Hay que tener en cuenta que una de las primeras cosas por las que pregunta alguien que pasa de Win a linux es por el antivirus (la amarga experiencia) y que muy poca gente se pensará si de verdad lo necesita.

Esta idea me viene al ver la cantidad de empresas que comienzan a lanzar sus versiones para linux.

Sí, a mi me suena también. ¿No sería el virus ESPERANTO?.

http://freshmeat.net/projects/explore2fs/

http://freshmeat.net/projects/fsdext2/

http://freshmeat.net/projects/ext2fsnt/

Pues existen virus en Java. El primero fue el "strange brew".

Un virus de este tipo necesita como requisito importante el poder accesar a cualquier area de la memoria, sin que el sistema operativo lo moleste. En el caso de DOS, me acuerdo que se podia escribir en cualquier parte de la memoria, como la RAM de video o un programita residente, porque la memoria no estaba protegida. Como Linux no permite que se sobreescriba cualquier parte de la memoria sin que antes se le pida esta memoria al Kernel, al virus no le queda otra mas que:

1.- Registrarse como proceso. Obviamente solo tendria acceso a sus propios derechos.
2.- Escribirse solito en cualquier area de la memoria sin notificacion del Kernel, cosa que si llega a suceder en un virus de boot, pero al no estar en la tabla de procesos, y en consecuencia, no tener asignada memoria, casi inmediatamente es sobre escrito por el Kernel, tal vez como resultado de cargar un demonio un proceso, o que se yo.
3.- Cualquier virus para funcionar, por muy miserable que sea, debera hacer llamadas al sistema. Indudablemente las llamadas a Dos, a Win o a Linux son super ditintas unas de otras.

En mi opinion, eso del virus que afecta a Windows y Linux me parece una vil y ya quemada mentirota. Atte. El Pollito

Aqui va una beta traduccion:

Dies ist ein harmloser, nicht-Speicher-residenter Linux Virus. Er ist extrem klein für einen Linux Virus - gerade mal 341 Bytes (in der bekannten Version).

-> Este es un inofensivo virus para Linux que no reside en memoria. Es extramadamente pequeño para ser un virus de Linux - apenas son 341 bytes ( en la version conocida).

Wird eine infizierte Datei gestartet übernimmt der Virus die Kontrolle und sucht im gegenwärtigen
Verzeichnis nach ELF Dateien (Linux Executable Files), schreibt sich dann in der Mitte der Datei in die unbenutzte "Notes section", sofern es eine gibt und ausreichend Platz ist. Bestehende "Notes" werden dabei überschrieben, was der Funktion des Programms aber keinen Abbruch tut.

-> Si un archivo infectado es ejecutado el virus toma el control y busca en el directorio actual archivos ELF ( Linux Executable Files), escribe en la mitad del archivo en la seccion inutilizada "Notes section", en el caso de que exista y haya suficiente espacio. Los "Notes" que haya seran sobreescritos, lo que no causara que el programa falle.

Der Virus selbst enthält den Text "LoTek by Wintermute".

-> El mismo virus contiene el texto "LoTek by Wintermute".

Der Virus hat eine Routine, die versucht, den Hostnamen (Computer Name) auf "Wintermute" zu
setzen, diese Routine übernimmt aber nie die Kontrolle.

-> El virus tiene una rutina, que intenta cambiar el Hostname (Nombre del ordenador) a "Wintermute", pero esta rutina no llega a coger nunca el control.

Separado en secciones por si alguien quiere aprender un poquito de aleman ;P

El citado esperando era para windows32, ms-dos, y macintosh, si no recuerdo mal, ese fue el q salió en PcActual

Un buffer overflow en un programa que se ejeucte como root. ¿POr qué en vez de shell remoto, no un virus que toque, binarios setuid?.

Si tienes root a partir de una técnica de estas, en /dev/mem, acceso a toda la memoria.

En el caso 3, si se podría hacer un virus (no exactamente, un gusano más bien) que aprovechara un overflow en un programa en Windows o Linux. POr ejemplo un mail mandado a un usuaior del Outlock con los problemas de VBS O a uno de mutt con algunos overflow que tuvieron.

Por ultimo, un virus podría en Windows montar una partición ext2 ... se me ocurren entonces lo que se puede hacer con un binario setuid e infectarlo.

<P>
<TT>
Searching...
/sbin/init found
Infecting
Linux OS take over done....
</TT>
</P>
<P>
Evidentemente, lo tiene que hacer desde windows o siendo ejecutado por root en Linux, pero apartir de ahí.. :)

Linux no es más que un buen sistema operativo.

        Hace tiempo leí en las news, no recuerdo en qué foro, un artículo en el que se afirmaba que Linux podía tener Virus, mencionaba varios virus ya existentes, entre ellos el bliss, y vi un fuente de un Virus en ensamblador que infectaba ficheros ELF.

        Ese virus, usaba una batería de xploits, de vulnerabilidades conocidas para hacerse "root",
¿qué deciais del sistema de permisos?. El mismo artículo mencionaba otro virus, que se instalaba
como un módulo cargable en el kernel.

        Pero también decía, que era muy poco probable o imposible que un virus se extendiera en el mundo linux, debido a que la mayoría de las aplicaciones son Open Source, no hay warez ni copieteo de aplicaciones y muchos se compilan sus propias aplicaciones.

        Aparte del hecho indiscutible, de que los bugs que existen en Linux, se resuelven casi inmediatamente.

        En otro mensaje de ese mismo hilo, alguien apuntaba, que entonces el virus podría estar en el propio código fuente de la aplicación, y en lugar de infectar binarios, infectar códigos fuentes. Y surgió un hilo de conversación, sobre si realmente miramos los fuentes que compilamos, o compilamos despreocupadamente.

        Por otro lado, en la revista arroba hace tiempo publicaron un artículo sobre un virus que infecta al mismo tiempo ordenadores Windows y Ordenadores Mac, creo que era un virus de 29A pero no recuerdo el nombre, (babilonia, babilon, o algo así), para detectar si se ejecuta en un
PC o en un MAC usa un código OP que en las dos máquinas hace algo, pero según el resultado, salta a código Intel o a código Mac.

        Si existen Virus capaces de funcionar perfectamente en Intel y en Mac, no veo por qué no pueden entonces existir virus que infecten
dos sistemas operativos que corren sobre el mismo microprocesador.

        Este virus no llega a eso, pero, al acceder a ext2fs, si tiene un bug, puede corromperlo.

Quién me manda a pulsar en "Enviar" sin mirar. ahí va con formato "bonito" :-)

Searching...
/sbin/init found
Infecting
Linux OS take over done....

No es por fastidiar, pero da igual la sintaxis que uses para el ensamblador. Al fin y al cabo, no es sino una abastracción del código máquina.
Uséase que nada de código AT&T. Además :) Lo más normal es que lo traiga ya compilado, y preparado para infectar :-)

Solo una anotación:

El que crea que un virus escrito en ensamblador
puede infectar diferentes plataformas es que no
ha programado en su vida.

Cada sistema tiene su ensablador y son por
definición exclusivos de cada una.

    12 - ¿Puede un virus infectar a Linux?.

    Los virus que habitualmente se escriben para Windows NO, no pueden infectar a Linux. Aunque se pueden escribir y de hecho se ha hecho virus para Linux.

  El primer virus que se desarrolló para este sistema operativo fué el staog en 1995. Este virus sólo funciona en las versiones del kernel 1.2.13. Infecta archivos ELF y utiliza 3 exploits diferentes para conseguir acceso como root.

  Este virus no consiguió extenderse debido a que los usuarios de Linux no tienen la costumbre de intercambiarse entre ellos software comercial compilado. Normalmente se descargan el software
en código fuente y lo compilan ellos mismos.

  Por otro lado, y debido a que los fallos de seguridad se resuelven muy rápidamente en Linux,
el ciclo de vida de los virus es muy corto.

  En 1996 apareció el Bliss, pero este virus tampoco se extendió.

  Algunos grupos de creadores de Virus han estado investigando la forma de desarrollar virus en Linux, y se ha desarrollado algo de código vírico que nunca se ha extendido, simplemente permanece en algunas páginas underground a modo de curiosidad. El ejemplo más famoso es el fichero "module.c" que explica la forma de infectar el kernel de Linux mediante un módulo cargable.

Recientemente, con la aparición de ILOVEYOU, alguien, desarrolló un guion shell que se supone es equivalente al ILOVEYOU pero para Unix/Linux, aunque hay que decir que el usuario tiene que infectarse intencionadamente. Pues los clientes de correo de Unix/Linux no tienen la facilidad de pinchar ficheros adjuntos para ejecutarlos. Probablemente el número de víctimas del UNIX/Loveletter.A (que así lo llamaron) sea igual a 0.

Es previsible que en un futuro cercano, con la llegada de Linux a las masas, aparezcan si no virus, al menos, gusanos de Internet pensados para esta plataforma.

  De momento, en Linux no existen este tipo de amenazas.

Bueno, tras haber ojeado el código fuente por encima (comentarios), si que es posible que infecte los 2 sistemas operativos, la técnica es parecida a la que usaba el virus "Esperanto" de MrSandman/29A (creo recordar). El Esperanto fue el primer virus multiplataforma (y "multi-SO", no como este que es "multi-SO") que se escribió (y creo que el único).

El virus Esperanto mostraba sus "payload" (una ventanita con info (esto es lo que más e admirado de 29A, crear virus de técnicas nuevas sin efectos destructivos), pero la ventanita únicamente la mostraba en Windows, la plataforma Mac la usaba a modo de agente infecioso, que tiene el virus pero no le afecta (no muestra payload), aunque usaba los Mac para pasar la infección tanto a Windows como a Mac. Para pasa de la plataforma Windows a Mac usaba los emuladores de Windows para Mac, una vez en Mac ya usaba código propio del Mac.

Pues al parecer este nuevo virus usa algo parecido, pues se basa en los emuladores de Windows para Linux (wine, Win4Linux,... lo dice en los comentarios del código), para desde aquí ser capaz (en Linux) mediante el uso de la int. 80h de abrir ficheros tanto Windows como Linux (es el propio kernel el que le facilita las cosas), pero parece que como todo virus de Linux únicamente afecta a los ficheros en los que el usuario tenga los permisos apropiados.

Bueno, eso es lo que he pillado yo de ojear los comentarios del código fuente, ni es un hoax periodístico ni tiene un acceso a ext2 desde Windows como me parece haber leído por aquí.

Por lo menos esa es la impresión que me ha dado a mi tras haber leído los comentarios del código fuente.

Si gran parte de los virus-gusanos de Windows se basan en fallos de Outlook e incluso parecen diseñados específicamente para Outlook o macros de Word-Excel-... parece que sigue siendo buena práctica en Linux diversificar los programas y no ir todos en manada con el mismo cliente de correo, news, procesador de texto...

Si que hay McAfee para Linux. De hecho yo lo uso en el servidor de correo.
Viene con el Total Virus Defense Suite. No sé si se puede descargar de algún sitio público.

¡Que viva Sir Clive!
¡Que viva Jay Miner!
¡Collejas para Alan Sugar!

Pero también decía, que era muy poco probable o imposible que un virus se extendiera en el mundo linux, debido a que la mayoría de las aplicaciones son Open Source, no hay warez ni copieteo de aplicaciones y muchos se compilan sus propias aplicaciones.

¿Y qué tiene que ver que las aplicaciones sean o no Open Source? Si uno descarga los binarios del programa XYZ, en lugar de compilarlos por si mismo, ¿quién le dice que no tengan un virus?

En cuanto a que la gente no se pasa programas, segun van aparciendo programas comerciales el pirateo se hace mas y mas frecuente (v.g. VMware, juegos, OSS, WordPerfect...)

Vale que en principio un virus en el espacio de usuario no afectará a todo el sistema, pero poco consuelo es ese si pierde uno el trabajo de varios meses, por ejemplo.

Por favor, llámalo GNU/W32.Winux. No tendrías este virus si no fuera por el sistema GNU. El que se utilice el núcleo de Linux o Windows es anecdótico. Puede que tú solo lo tengas porque el virus es gratis pero otros lo tenemos porque nos importa la libertad.

1. Técnicamente todo es posible.
2. Socialmente todo es posible.
3. Entornos uniformes favorecen la propagación.
4. Si combinamos sabiamente los factores anteriores y le ponemos la suficiente dosis de imaginación tendremos el virus perfecto.

Cierto, como ya dijo alguien por aqui el mejor caldo de cultivo para los virus (tanto desde un punto de vista biologico como informatico) es la unicidad. La diversidad es la mejor proteccion frente a los agentes infecciosos, pues al crecer su complejidad (y tamanyo) disminuye su eficiencia.

Referencias, please....

Si es cierto lo que comentas, razón de más para no instalar el emulador de windows :) o por lo menos no tenerlo activado en el binfmt_misc.o

La diferencia que parece existir es que, mientras en Linux se utilizan fallos de diseño, que cambiarán en función de la versión o incluso actualización, los virus Win parecen basarse en la filosofía del diseño de los programas y el sistema Win.