Обнаружен первый в истории троянец для Linux и Mac OS X, похищающий пароли

[alexxcompany]

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении первого кросс-платформенного бэкдора, способного работать в операционных системах Linux и Mac OS X. Эта вредоносная программа предназначена для кражи паролей от ряда популярных интернет-приложений. BackDoor.Wirenet.1 — первый в своем роде троянец с подобным функционалом, способный одновременно работать в этих операционных системах.
http://news.drweb.com/show/?i=2679

[Простой]

Аж не вериться. Но установиться в системе он не сможет без помощи пользователя. Для этого надо пароль root ввести.  А если прикрутить его в зависимости к какому-нибудь пакету, то это очень быстро раскроется.

[YYY]

Это не серьезно :)

http://vms.drweb.com/virus/?i=1957835
При запуске копирует себя в домашнюю директорию пользователя.
В MacOS: в папку %home%/WIFIADAPT.app.app
В Linux: в %home%/WIFIADAPT

[unihorn]

Это не серьезно :)

А зачем вирю крадущему пароли, рут?

Плюс, твои домашние данные, куда важнее чем то, что в системе (если похитив данные по твоим "денежным карточкам" джебя ограбят это принесет тебе куда больше неприятностей чем незагружающаяся система)

Плюс, при желании, таким образом, и рута похитить можно (особенно коли ты сохранил пароль рута чтобы лишний раз не вводить (а этим будут грешить (и грешат) очень многие "домашние админы": Линь не Винда, как никак, где такая операция в УАКе не возможна, Линь страна возможностей :) (вообще не понимаю на кой добавили такую функцию, причем что в Гноме, что в Кедах: это, ведь, весьма серьезный удар по безопасности...)))...

Посему, увы, но далеко не первая, и весьма не безобидная, ласточка... Линь, постепенненько, перестает быть "Неуловимым Джо"...

[YYY]

Я одного не могу понять... Где у меня этот %home% ?
И самое интересное как оно распространяется?
А то собирать из исходников как-то не охота...
Не просить же в репозиторий его добавлять :)

[unihorn]

Я одного не могу понять... Где у меня этот %home% ?

Это ваша домашняя дира...

Лично я, правда, сделал бы папку виря скрытой (добавив точку)... Хотя, для не спеца (особенно если он держит папку "Документы" на раб столе (и подобное) это до фени...

И самое интересное как оно распространяется?

Имхо классическим способом: как и 99,9 процентов вирей на Окнах (с всяких сайтов, спамованных писем, и прочей социальной инженерии (при желании запустив файлик "много халявного порна" так и рута получить можно (как опять же получают рута большинство вирей Винды)))...

В конце концов, это троян (ему не требуется размножать себя дабы безконтрольно распространятся)... Да и не мешает, знаете ли, "безконтрольно распростронятся" нахождение в домашней дире...

то это очень быстро раскроется

Совершенно не факт (коли выбирается такой путь распространения (не шибко универсальный правда, и скоорее могущий быть направленным лишь на конкретные популярные дистры))... Кстати говоря...

[flint1975]

а как он запускается? Даже если скопировал себя в home.

[unihorn]

а как он запускается? Даже если скопировал себя в home.

Как этот не знаю. Но имхо, можно, банально, в процессе заражения, ко всему прочему, desktop-ник поместить в ~/.config/autostart (это универсально).

Можно и в башиный профиль прописаться (но это уже конкретнодистроориентированно будет (правда можно, имхо, определять "дистр-хозяин" и уже конкретно прописываться, для конкретного дистра...))... И т. п...

[andy_ch]

"Как этот не знаю. Но имхо, можно, банально, в процессе заражения, ко всему прочему, desktop-ник поместить в ~/.config/autostart (это универсально).

Можно и в башиный профиль прописаться (но это уже конкретнодистроориентированно будет (правда можно, имхо, определять "дистр-хозяин" и уже конкретно прописываться, для конкретного дистра...))... И т. п..."
А если /home  noexec?

[YYY]

Я одного не могу понять... Где у меня этот %home% ?

Это ваша домашняя дира...

Нет. моя дира это ~ или $HOME но уж ни как не виндостайловое %home% !

Лично я, правда, сделал бы папку виря скрытой (добавив точку)

Не помню чтоб у меня на каком-нибудь дистрибутиве в хомяке валялся файл прописными буквами. Совсем не удачно таким образом пробовать затеряться....

Но имхо, можно, банально, в процессе заражения, ко всему прочему, desktop-ник поместить в ~/.config/autostart (это универсально).

Ну это конечно да... Но деньги вперед все равно сначала запустить, а потом .desktop.
Потому-что сначала  .desktop а потом запустится... А как это провернуть без дыры в каком-то софте?
 

Имхо классическим способом: как и 99,9 процентов вирей на Окнах (с всяких сайтов, спамованных писем, и прочей социальной инженерии

А вы попробуйте что-нибудь скачать с инета или с атача... У вас автоматом исполнимым он получается? Вот у меня почему-то нет... И как его тогда мне запустить... Щелк-щелк... не работает... Права выставить? Не... не умею... а как это?
Тьфу... в этом линуксе даже строян фиг запустишь... :(

ЗЫ: Вот кстати графическую устанавливалку локальных RPM в альте из коробки поэтому и считаю злом... Чтоб безумного щелк-щелк не получалось...

[БарсSc]

По мне дак опять подняли панику на пустом месте, как в свое время Касперский кричал, что линуксу пришел конец, что он якобы нашел работающий вирус, да только сам не смог его запустить ;). Пусть покажут или расскажут как оно в линуксе запускается и работает, а самое главное как оно попадает, на сайте очень мало инфы.

[YYY]

Пусть покажут или расскажут как оно в линуксе запускается и работает, а самое главное как оно попадает, на сайте очень мало инфы.

На LORe предположили что дохтур-веб нашел вот это
http://www.worldwiredlabs.com/pricing/
http://forum.xakep.ru/m_2665165/tm.htm
по описанию 1 в 1
:)
Способно проникнуть на альт очень хитрым способом
golaya_anna_kyrnikova.rpm
:)

[БарсSc]

Дак его еще и генерировать надо ;D , ну успехов в заражении линупса

[YYY]

Его еще надо купить Ж)
60$ в год...

[БарсSc]

Да не может этого быть, оказывается под линукс настолько суровые вирусы, что они еще и платные ;D