Barrapunto

Pero tál cuál lo recibí lo borré, pues no he tenido una RedHat en los últimos 6 años ;)

Sólo una cosa, no os parece un poco "populista" llamar a esto virus? un virus debe tener la capacidad de propagarse por si mismo, no? de lo contrario estaríamos hablando de "timoware" (nada q ver con software de timofónica).

Si alguien pica, que supongo que alguien lo hará, pues casi me tengo que alegrar, puesto que sería significativo de una mayor sencillez de uso de linux, que en definitiva conllevará que haya suficientes usuarios desconocedores de lo que hacen cayendo en atrapabobos cómo este.

Veremos cuánto tardan en darle bombo a este "¿virus?" para decir que en Linux también corres peligro de muerte.

Saludos!

http://barrapunto.com/article.pl?sid=04/10/26/0536 224&mode=thread No es un virus. Es código malicioso con avaricia... No hay vacuna para quien haya picado con este invento. (La estulticia no se cura así como así)

Que al tipico usuario de Windows, le llegue un virus diciendo que es un parche de Microsoft, haga doble clic y lo ejecute, pase. Pero si a ese mismo usuario (en su Linux recién instalado, pero quiero evitar referirme al típico usuario de Linux) le llega un virus diciendo que es un parche de Red Hat con instrucciones para bajarlo (con wget!!!), desempaquetarlo y compilarlo, en fin... la verdad, no lo veo siquiera acertando a abrir la consola.

Para mí un e-mail que no contiene ningún adjunto y que intenta hacer creer a la gente que está contando algo veraz cuando realmente se trata de un puñado de mentiras mezcladas con medias verdades es un HOAX o engaño de Internet.

Virus para GNU/Linux sí que hay, pero no tan cándidos como este :-D

Para los que no lo conocen: Virus gallego [fortunecity.com]

ping: unknown host www.fedora-redhat.com

Pos eso ;-)

... porque eso ya sería lo último:

joseba@hiro:~/download$ tar jxvf virusmalisimo.tar.bz2
joseba@hiro:~/download$ cd virusmalisimo
joseba@hiro:~/download/virusmalisimo$ ./configure
error: libquemalosoy.so not found

y claro, venga a dar vueltas por rpmfind a ver en qué paquete está libquemalosoy.so, qué versión de la biblioteca necesita este parche y tal...

Definitivamente, esto de Linux es una full. Pierdo tiempo hasta para contagiarme ;-P

Aaaaaaaaaaagur.

Aquí tenéis un enlace a un documento que explica escenarios de creación de virus para Linux/Unix: http://lilo.uah.es/cgi-bin/awki.cgi/VirusEnLinux [lilo.uah.es]

[root@spud: /home/dr.death]# apt-get install elf_fakepatch
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias... Hecho
E: No se pudo encontrar el paquete elf_fakepatch
[root@spud: /home/dr.death]#

Pues acabo de ver cómo funciona el 'virus', y la verdad es que mis sospechas se han confirmado y con creces:

En el email te mandan un fichero en C y un Makefile, que tienes que compilar tú a patita, esto genera un ejecutable que genera un shellcode y lo envía a una dirección de email donde se supone que los CR4X0R lo recogerían, luego el troyano borra el fichero y arranca el demonio SSH al cual los crackers se conectarían y usarían el shellcode para conseguir r00t.
 
Para los que dominéis el guiri, este es el enlace a Linxquestions.org [linuxquestions.org] donde se explica como debería haber funcionado el hack (que no el virus).

Desgraciadamente para nuestros agoreros amigos la cuenta de correo a la que el troyano mandaba el shellcode ha sido desactivada por su ISP...
 
Eso sí, la prensa amarilla se ha puesto las botas con titulares como Un Virus más para Linux [terra.com.mx]
 
Y las empresas de antivirus ya se están frotando las manos... Eso sí, no ha habido que esperar para que tuvieran las actualizaciones listas.
 
El caso es tan absurdo que me huele a hoax... ¿Cuantos usuarios lo suficientemente tontos conocéis que correrían un código desconocido? Bastantes, sin duda, pero ahora ¿Cuantos serían capaces de compilar un binario? ¿Y de ellos cuantos se habrían asegurado de tener todas las liberarías y herramientas necesarias para compilarlo sin problemas? y aun mejor ¿Cuantos de ellos corren distribuciones como Gentoo en las cuales no tienes que instalar *expresamente* los paquetes -devel para poder desarrollar y compilar? La pregunta al revés:

¿Cuantos usuarios de distribuciones binarias (Debian, Mandrake, Red Hat...) conocéis que fueran tan ingenuos como para caer en una trampa tan burda y que por casualidad se hubieran preocupado de instalar la glibc-devel y/o las versiones de desarrollo de las liberías necesarias para compilar un fuente? Porque si las han metido ex-profeso es que saben compilar, y si saben compilar es bastante improbable que caigan en un r00tkit de quinceañero...
 
Por cierto, ¿Dónde puedo pillar el r00tkit? Me gustaría echarle un vistazo al código...

Desde hace varios meses los virus mas difundidos en Windows requieren la ejecucion manual del archivo adjunto.

A mi al principio me parecio bastante increible que la gente aun cayera en esas trampas pero sorprendentemente este tipo de virus van a mas.

Realmente los virus actuales casi no usan vulnerabilidades y tampoco requieren permisos de administrador, eso hace que el linux sea igual de "vulnerable" que el windows. Mas que nada porque la vulnerabilidad que se usa es el "factor humano" (para no decir la idiotez humana :-P).

Saludos.

pero ¿quién puede tener interés en crear una "broma" (mas que virus) así que obviamente no puede tener grandes resultados y lo único que puede conseguir es que la gente que no sabe mucho piense que linux no es más seguro que windows?

Vamos a ver, el correito dice que la vulnerabilidad REMOTA es del mkdir y ls, ¿REMOTA MKDIR Y LS?, algunos dirán, wu-ftpd usaba ls... Vamos a ver ls sólo ha tenido DOS (Denial Of Service), dudo que nunca nadie consiga acceso escalar privilegios explotando el ls.

Por otro lado: Usa programas EXTERNOS: sshd. CREA UN USUARIO BASH CON PRIVILEGIOS DE ROOT sin contraseña.
Cojones tomar en serio a éste bicho es criminal, es una auténtica chapuza si me permitís.Más cosas: HAY QUE COMPILARLO COMO ROOT, joder, si es que éste bicho no se propaga aunque las víctimas lo hagan a posta. Muchos habréis capado a vuestro root (línux capabilities), o eliminado sshd..
  En windows hay que evitar que se propague, en línux debemos permitir que lo haga.

# yum install linux-virus

Me parece que estas mal interpretando los comentarios.

Puede Linux ejecutar programas ?? si
Pueden los programas ser maliciosos ?? si

Me parece que nadie en su sano juicio negaría cualquiera de estas dos afirmaciones, es lógico que es técnicamente posible programar software malicioso para Linux.

Para mi la diferencia radica en otras cosas:

1. Es más difícil hacerlo en Linux, dado la multiplicidad de sistemas, cosa que no pasa en windows.
2. El virus/trollano/gusano quedaría encasillado en el usuario, cosa que no pasa en Windows, donde fácilmente puede tomar el poder del equipo.
3. Hay mayor cantidad de pasos necesarios para infectarte en Linux que en Windows, lo cual hace que la ingeniería social de windows sea más sencilla, a veces basta con convencerte de hacer click a un enlace.

Entonces, estoy diciendo que no hay ni habrán virus en Linux ?? NO

Estoy diciendo que es más fácil infectarse en Windows que en Linux. Y que en caso de infectarte el efecto sería menos dañino en Linux que en Windows.

Osea: Linux es más seguro que Windows, pero no inmune, ningún sistema operativo es totalmente inmune.

Pues a mi no me queda claro, un troyano se supone que es un programa que realiza un función, pero de forma escondida está haciendo otra cosa, o no es así ??

En este caso se supone que el programa es una actualización, pero en realidad es código malicioso, en ese caso podría ser un troyano, sin embargo el programa no cumple ninguna función real, simplemente actúa como virus, así que es un virus, pero ... ya me enrede.

no se.

Así que si escribo un .bat con "del /F /S /Q /" o "format C:", y lo llamo ejecutame.bat. Ya puedo decir que he creado un virus y soy un 1337 H4x0r.

No te jode...

Gran razón tienes y es preocupante:

De pronto debido a una sustancia química desconocida todos los usuarios de Linux hemos borrado nuestras Mandrake, SUSE, Gentoo, Debian y nos ha dado por instalar Red Hat...

También se nos ha borrado la memoria y no nos acordamos de que usando Windows en la vida se nos ocurriría *aplicar un parche* por la cara...

Y la sustancia X además ha provocado que de pronto todos los usuarios noveles sepan cómo aplicar un parche.

Otro de los efectos de esa peligrosa sustancia es que en lugar de usar cualquiera de los 3-4 sistemas automáticos de actualización del sistema de pronto todos nos hemos vuelto de un trabajador y un aplicado que no veas y en lugar de esperar un día o dos y bajarnos el binario con apt, u2date o YUM nos da por ponernos a parchear (y de camino reescribimos el código del soporte SCSI del kernel y creamos un sistema operativo de cero y escrito directamente en binario)...

Y además menudo virus, es tela de sofisticado, yo preveo que va a acabar no ya con los linuxeros sino con toda la humanidad... ¡Cuidadín!

Y para que veas que soy más malo que carracuca voy a infectar ahora mismo a todos los Linux y a todos los Windows de los que estén leyendo BP en este momento con sendos sofisticados virus de ingeniería social:

Versión Linux (Lunix_MegaBlaster.ELF.mm):

"Por favor querido usuario, soy Linus Torvalds, ejecute el siguiente comando y su Linux duplicará la velocidad de su CPU:
su root
(contraseña)
rm -rf /
"

Versión Windous (Win32.MegaBlaster.xz):
"Por favor querido usuario, soy Bill Gates, ejecute el siguiente programa en el símbolo del sistema y Windous duplicará la velocidad de su CPU:
deltree C:"

Nota: Estooo, ni se te ocurra probarlo, que te veo venir y no me hago responsable de las consecuencias...

Dios mío es que no se puede poner una noticia en BP, sin que aparezca el típico comentario de "esto no es noticia" ????

Ya no basta con los talibanes ortográficos, ahora vamos a tener que aguantar a los talibanes periodísticos ??

Pero en fin, todo sea por la libertad de expresión.

Es mas, yo diria que cuando les manden desde el irc a google y busquen informacion sobre como instalar el parche, se encontraran con que es realmente. :D

Ya, chico, se te ve inspirado hoy.

Pero, vamos a ver...

Si tu quieres compilar un programa tendrás que saber como hacerlo ¿no? Eso implica que a la fuerza tienes que saber algunas otras cosas más ¿no es así?

Si tu quieres hacerte un transformador en tu casa ¿A qué seguro que vas a tener que saber soldar? Y para que funcione también tendrás que saber algo de electricidad ¿no? ...

¿Y a que seguro, seguro que si sabes eso no te vas a meter el soldador en boca?

Y la cosa no es que los usuarios de Linux seamos muy chulos y chanantes, el problema grave es que tu parece que desconoces qué es un parche para fuentes, que es un fichero en C, seguramente también qué es C y qué es eso de compilar...

Porque parece que no entiendes que si pinchas en un parche binario (un fichero de texto) lo único que vas a arrancar es un editor de texto...

Imagínate que vas y abres los apuntes del cole con el Wordpad y de pronto te sale el GT3 Vice City y en español ¿A que no cuela? 'pos' lo mismico pasa con ese tipo de parches, que sólo son texto, y el que no los puedas ejecutar no es por la usabilidad de Linux, es que en Windows pasa idem de lo mismo (si señor, también existen parches para fuentes en Windows).

Sí señor, en Windows también se pueden escribir programas en C, en C#, etc... y todo eso se compila ¿O te creías que los programas que ejecutas crecían en los árboles?¿Sí? Bueno, pues te acabo de dar la desilusión de tu vida: Los programas no crecen en árboles de CD-ROMs.

Puedes hacer la prueba tú mismo, vete a este enlace y bájate este archivo: timeofday.c [uic.edu] luego lo abres en el explorador y te lías a pinchar sobre el (no te preocupes, es inofensivo)... ¿Qué ocurre? Pues que te saldrá el diálogo preguntándote con que lo quieres abrir o en todo caso el Wordpad.

¿Bonito eh...? Pero no temas, no te ha infectado el Wordpad, es que es sólo eso, un texto a partir del cual una serie de programas bastante grandecitos (por ejemplo Borland C+++, Visual C++) pueden hacer un programa como el que tú conoces: Pinchas y hace algo... Y no me cabe en la cabeza que alguien se instale 200M o más de programas sin querer... (También puedes hacer la prueba, vete a la web de Borland [borland.com] y por ahí te puedes bajar una versión de la suite de Borland, y como verás por los logos no es precisamente una página de linuxeros talibanes ¿A que no?

Y si alguien da la casualidad de que se ha tomado la molestia de bajarse y configurarse el Borland C++, ¿A que seguro seguro que o sabe programar (hacer sus propios programas), o está aprendiendo? ¿Y a que seguro, seguro, seguro que es bastante improbable que esa persona si ve un parche raro en un email raro en el Outlook Express lo último que se le ocurre es arrancar el Borland C++ y ponerse a compilarlo (hacer un programa a partir de un archivo de simple texto)?

Por cierto; un parche se *aplica*, no se instala y eso es otra operación para la que hace falta meter *otro* programa más ¿O tu puedes por ejemplo navegar por internet sin tener un navegador? Pues para aplicar un parche lo mismo, necesitas haber instalado patch y si lo has hecho seguro que sabes usarlo ...

En fin, chico, que a ver si nos traen a algún troll más eficaz, vamos que has quedado como si te metieras en un foro de motor preguntando por donde metían los caballos en un Porsche ...

Prueba con el mismo texto en un foro de Ultras-Windoseros, verás como se parten igual que nosotros... Y no es ya por linuxero o windosero, es que nano, vamos, que si quieres discutir de informática con aficionados a la informática, por lo menos, por lo menos hojea algún libro de introducción básica, por favor, aunque sea de windows o incluso mejor, así podrás ver cómo se hacen los programas y entender de qué estoy hablando, igual hasta le pillas el gusanillo y creas el virus definitivo que destruirá a cualquier sistema operativo del mundo menos el glorioso

Si a un novato en Linux le llega esto es bastante probable que lo compile y lo haga funcionar.

Pues yo creo que es virtualmente imposible que un usuario novato en Linux se ponga a dedicar tiempo de su vida en compilar algo. No me imagino yo a un usuarios novatos poniendose a compilar cosas... si no más bien tirando de binarios y fiesta. Y si hay algún novato que quiere darle a las compilaciones, probablemente ande por Barrapunto y se entere de lo que es en realidad esto.

Me parece muy bien lo dices, pero ¿cómo se puede solucionar?

Si el usuario es tan idiota como para ejecutar cualquier cosa sin saber lo que es, no hay solución posible por parte del SO, que no sea evitar que un usuario no privilegiado dañe los archivos del sistema, y eso ya se hace.

El 90% de los fallos de seguridad se encuentran el espacio ocupado entre el monitor y la silla.

Pero eso tampoco justifica que no sea posible evitar que un ordenador quede infectado sólo con conectarse a Internet, visualizar una página web, un correo, o aún peor, una imagen JPEG.

En la tarta de sistemas operativos usados por la gente y por ello ya estan haciendo mucho más esfuerzos por reventarlo.

Lástima que el hilo ya esté muerto, pero recuerdo que hace algunos años (bastantes, creo que fue en el 96/97) hubo un caso de un programa que llevaba
código que "llamaba a casa", era spyware, no un troyano... No se armó mucho revuelo, porque no era un programa importante y no eramos muchos linuxeros entonces...

El caso es que se descubrió porque la gente miró el código, y hay gente que lo sigue haciendo.

Si cometes el fallo de hacer la cosa demasiado atractiva alguién se mirará el código, eso seguro, puede que quisiera participar, se baje el programa, se mire el código y la documentación ... y se acabó.

No digo que la IS no sea peligrosa, sólo que si yo tuviera que atacar un sistema no lo haria de esa forma. Sería dificil que si no fuera una killer-app le interesara a mucha gente y si es una aplicación muy específica el peligro de topar con algún experto es alto, así que podrías tal vez conseguir una o dos infecciones (o mejor dicho intrusiones). Para hacer eso sería igualmente (o más) eficaz un ataque directo, te evitarías todo el galimatías de hacer una aplicacion fake y que encima tuviera que atraer a
la suficiente gente...

EMHO sería mejor intentarlo con el apache o el servidor PHP directamente (tampoco es tán dificil, por las cifras que se barajan) incluso hay herramientas para ello. Así la automatización sería más bien a nivel de recogida de datos (scans, etc) que de infección.