← Март 2005 →
	1	2	3 03.03.2005 09:01:19 20:59:13	4 04.03.2005 13:00:37 13:08:44 13:10:24 21:31:28	5	6
7	8	9 09.03.2005 09:59:05 10:07:42 17:12:37 17:21:44	10	11	12 12.03.2005 14:45:19 20:30:38	13 13.03.2005 11:18:11 20:49:51
14 14.03.2005 09:51:54 10:23:54 13:36:51	15 15.03.2005 16:47:02 23:05:44 23:07:39	16	17 17.03.2005 08:06:40 08:56:36 14:30:38 16:23:00 16:29:00 16:47:40 17:10:00 17:10:08 20:54:47 21:11:20 21:45:21	18 18.03.2005 07:42:35 08:56:13 09:02:25 09:16:38 09:41:45 22:05:59 22:06:39	19 19.03.2005 00:20:28 16:53:41 22:21:41 23:32:43	20
21 21.03.2005 09:06:40 16:55:30 22:03:21	22	23 23.03.2005 14:27:08 14:44:41 14:46:42 15:18:44 15:36:30 15:38:43 15:42:26 15:53:01	24 24.03.2005 05:24:07 09:31:17 10:18:43 10:31:34 10:32:06 11:28:57 19:58:18 22:58:25	25	26 26.03.2005 09:42:23 10:12:43 19:53:04	27 27.03.2005 22:11:10 23:58:25
28 28.03.2005 10:21:45 11:17:28 12:19:17 13:43:10 20:31:30	29 29.03.2005 05:41:39 10:10:26 10:25:35 12:44:35 13:29:47 13:49:38	30	31

← Март 2005 →

03.03.2005
09:01:19
20:59:13

04.03.2005
13:00:37
13:08:44
13:10:24
21:31:28

09.03.2005
09:59:05
10:07:42
17:12:37
17:21:44

12.03.2005
14:45:19
20:30:38

13.03.2005
11:18:11
20:49:51

14.03.2005
09:51:54
10:23:54
13:36:51

15.03.2005
16:47:02
23:05:44
23:07:39

17.03.2005
08:06:40
08:56:36
14:30:38
16:23:00
16:29:00
16:47:40
17:10:00
17:10:08
20:54:47
21:11:20
21:45:21

18.03.2005
07:42:35
08:56:13
09:02:25
09:16:38
09:41:45
22:05:59
22:06:39

19.03.2005
00:20:28
16:53:41
22:21:41
23:32:43

21.03.2005
09:06:40
16:55:30
22:03:21

23.03.2005
14:27:08
14:44:41
14:46:42
15:18:44
15:36:30
15:38:43
15:42:26
15:53:01

24.03.2005
05:24:07
09:31:17
10:18:43
10:31:34
10:32:06
11:28:57
19:58:18
22:58:25

26.03.2005
09:42:23
10:12:43
19:53:04

27.03.2005
22:11:10
23:58:25

28.03.2005
10:21:45
11:17:28
12:19:17
13:43:10
20:31:30

29.03.2005
05:41:39
10:10:26
10:25:35
12:44:35
13:29:47
13:49:38

Linux и вирусы: началось?

25 марта 2005 года компания "Лаборатория касперского" сообщила об
обнаружение вируса для системы Linux: Linux.Staog.

Для заражения системы пытается получить права суперпользователя, для
чего использует ошибки в программном обеспечении:
* ошибку переполнения буфера в команде mount;
* ошибку переполненения буфера в программе dip;
* уязвимость в интерпритаторе perl связанную c битом SUID.

Ответить

Kolotov Alexandr

Mon, 28 Mar 2005 06:18:08 +0000 (#340899)

Ответы:

Kolotov Alexandr пишет:

› показать цитату

По подробнее пожалуйста, и если можно то и URL тоже.
А лучше всего образец заразы! :)

Ответить

Vasilev Max

Mon, 28 Mar 2005 11:17:32 +0400 (#340923)

› показать цитату

с http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21746

Другие названия
Virus.Linux.Staog ("Лаборатория Касперского") также известен как:
Linux.Staog ("Лаборатория Касперского"), Linux/Staog (McAfee),
Linux.Staog (Symantec), Linux.Staog (Doctor Web), Linux/Staog
(Sophos), Linux/Staog (RAV), ELF_STAOG (Trend Micro), Linux/Staog
(H+BEDV), Unix/Staog (FRISK), LINUX:Staog (ALWIL), Linux.Staog.A
(SOFTWIN), Linux.Staog (ClamAV), Linux/Staog (Panda), ELF/Staog.A
(Eset)

Технические детали
Staog является одним из первых вирусов написанных для операционной
системы Linux. Написан на ассемблере. Является резидентным вирусом. Для
заражения системы пытается получить права суперпользователя, для чего
использует ошибки в программном обеспечении:
* ошибку переполнения буфера в команде mount;
* ошибку переполненения буфера в программе dip;
* уязвимость в интепритаторе perl связанную c битом SUID.

После получения прав root'а изменяет права доступа к некоторым системным
файлам, в чаcтности к /dev/kmem, - файл делается доступным на чтение и
запись для любого пользователя.

После чего происходит подмена системных вызовов в таблице системных
вызовов ядра. В результате вирус получает возможность заражать все
запускаемые в системе файлы.

Вирус содержит следующие строки:

/tmp/hookup
Staog by Quantum / VLAD
/dev/kmemx/etc/mtab~
/sbin/mount
/tmp/t.dip
/bin/sh
/sbin/dip /tmp/t.dip
chatkey
/tmp/hs
#!/bin/sh
chmod 666 /dev/kmem
/tmp/hs
#!/usr/bin/suidperl -U
$ENV{PATH}="/bin:/usr/bin";

› показать цитату

exec("chmod 666 /dev/kmem");
sys_call_table
current
kmalloc
/dev/kmem

Ответить

Kolotov Alexandr

Mon, 28 Mar 2005 07:48:29 +0000 (#340944)

Исходное сообщение От: "Kolotov Alexandr" <akmypo***@m*****.ru>
Кому: "comp.soft.linux.kirovlug (6590282)" <kaa@k*****.ru>
Отправлено: 28 марта 2005 г. 10:18
Тема: Linux и вирусы: началось?

› показать цитату

Понятно что он пытается получить права суперпользователя, но непонятно каким

образом он вообще может попасть на машину...лично я бинарниками не
пользуюсь...

Ответить АСУ ТЭЦ-1 Mon, 28 Mar 2005 13:42:11 +0400 (#341057)

← Март 2005 →
	1	2	3 03.03.2005 09:01:19 20:59:13	4 04.03.2005 13:00:37 13:08:44 13:10:24 21:31:28	5	6
7	8	9 09.03.2005 09:59:05 10:07:42 17:12:37 17:21:44	10	11	12 12.03.2005 14:45:19 20:30:38	13 13.03.2005 11:18:11 20:49:51
14 14.03.2005 09:51:54 10:23:54 13:36:51	15 15.03.2005 16:47:02 23:05:44 23:07:39	16	17 17.03.2005 08:06:40 08:56:36 14:30:38 16:23:00 16:29:00 16:47:40 17:10:00 17:10:08 20:54:47 21:11:20 21:45:21	18 18.03.2005 07:42:35 08:56:13 09:02:25 09:16:38 09:41:45 22:05:59 22:06:39	19 19.03.2005 00:20:28 16:53:41 22:21:41 23:32:43	20
21 21.03.2005 09:06:40 16:55:30 22:03:21	22	23 23.03.2005 14:27:08 14:44:41 14:46:42 15:18:44 15:36:30 15:38:43 15:42:26 15:53:01	24 24.03.2005 05:24:07 09:31:17 10:18:43 10:31:34 10:32:06 11:28:57 19:58:18 22:58:25	25	26 26.03.2005 09:42:23 10:12:43 19:53:04	27 27.03.2005 22:11:10 23:58:25
28 28.03.2005 10:21:45 11:17:28 12:19:17 13:43:10 20:31:30	29 29.03.2005 05:41:39 10:10:26 10:25:35 12:44:35 13:29:47 13:49:38	30	31

KirovLUG: пользователи Linux в Вятке

Статистика

Linux и вирусы: началось?

Ответы: