Mail virus pro Linux

1. 4. 2004 | Petr Bravenec | Různé | 14358×

Úvod

... Je to samozřejmě dané především menší rozšířeností Linuxu. Nepochybně má na tom svůj podíl i v průměru vyšší zkušenost s počítači na straně uživatelů Linuxu. Windows dostala většina jejich uživatelů bez možnosti výběru, kdežto Linux si většinou instalují lidé, kteří jeví o výpočetní techniku alespoň minimální zájem. Většinou si uvědomují, kolik práce je stálo osvojení byť i jen základních dovedností v tak odlišném systému, a nehodlají riskovat jeho poškození bezmyšlenkovitým spouštěním každé přílohy v poště. Kdybych chtěl být hodně jedovatý, mohl bych napsat, že rozšíření virů na Linuxu brání vyšší inteligenční koeficient Linuxového klikače ve srovnání s klikačem typové řady MS.

Zabezpečení operačního systému nemá s šířením poštovních virů poslední doby příliš mnoho společného. Viry se šíří jen díky nežádoucí aktivitě uživatelů.

Naneštěstí se neustále zvětšuje okruh lidí, kteří se dostávají k Linuxu bez vlastního přičinění. Linux jim prostě někdo vnutí - ať už je to v práci, doma nebo v internetové kavárně. Tito lidé se u počítače chovají úplně stejným způsobem jako se chovají jejich kolegové ve Windows.

Virus Lirpa.x1 je logickým důsledkem neustále se snižující úrovně průměrného uživatele Linuxu.

Inspirace ve světě Windows

Virus je velmi proměnlivý. Pro své základní šíření využívá přílohu typu tgz, ale tento soubor může být uložen do 'spustitelné' dávky s přípohou sh a v mnoha případech je zašifrovaný pomocí programu GnuPG. V posledním případě může být jeho nebezpečnost extrémní, protože virus nelze detekovat žádným antivirovým programem. V případě, že virus najde v síti keyserver.net veřejný klíč adresáta, zašifruje přílohu i text zprávy a potom dokáže obejít antivirové kontroly a zmátnout i velmi zkušené uživatele a přesvědčit je, aby virus spustili.

Samotný text zprávy se objevuje v mnoha variacích. Nabízí adresátovi modrou pilulku, 30 miliónů dolarů, univerzitní diplomy, kvalitní soukromé fotografie, pozvánky na párty a spoustu dalších výmyslů - autor viru se zjevně inspiroval ve svém archivu se spamem. Někdy virus posílá obrázky nalezené na disku napadeného počítače s tím, že další obrázky jsou v příloze. Bohužel má virus na zkušenější uživatele připravenou i mnohem zákeřnější zbraň: Prohledává pomocí googlu archivy linuxových konferencí a odpovídá na nalezené zprávy. Může se vám tak stát, že vám přijde nečekaná odpověď na váš dotaz v některé konferenci s linuxovou tematikou s textem o nabízené pomoci, s přiloženým tgz souborem a s návodem na instalaci. Navíc může být pro zvýšení věrohodnosti celá zpráva i s přílohou zašifrovaná.

Popis činnosti

I když virus používá pro své šíření pouze blbosti průměrného uživatele, jeho programový kód určitě není jednoduchý. Po spuštění virus prohledá lokální disky počítače a vyhledá v souborech všechny dostupné poštovní adresy a soubory JPG. Tuto databázi adres a obrázků pak používá pro rozesílání vlastních kopií.

Zároveň se virus snaží dostat pomocí různých děr v kernelu (do_mremap, do_brk a ptrace) k lokálnímu účtu roota. Pokud se mu to podaří, upraví inittab tak, aby se virus spouštěl automaticky při každém startu operačního systému.

Ale i když se viru nepodaří získat rootovská práva, jeho činnost nekončí se zastavením systému. Virus se instaluje do prostředí KDE a Gnome do položky "Spustit při startu". Dále sice rozesílá poštu, ale jeho možnost škodit v systému ještě více zůstává naštěstí omezená.

Podaří-li se viru získat účet roota, začíná teprve ta správná legrace. Podle distribuce operačního systému se virus snaží přitáhnout a nainstalovat z internetu binární podobu balíčku Wine a spustit v emulaci MS Outlook. Jakmile je MS Outlook nainstalovaný a spuštěný, je PC s Linuxem zcela otevřené všem poštovním virům pro Windows.

Nebezpečí

Příloha je poměrně malá a svým rozsahem maximálně několika málo stovek kilobajtů (její velikost je silně proměnlivá) nevybočuje z řady ostatních poštovních virů. Problém nastává v případě, že se viru podaří získat rootovská práva a začne tahat po síti balík Wine. Dokaže tak citelně zpomalit připojení na internet a je-li napadených počítačů v síti více, virus spolehlivě ucpe jinak i velmi širokou linku.

Pokud se viru podaří nainstalovat Wine a MS Outlook, je počítač náchylný k jakékoli jiné virové infekci obvyklé ve Windows. Potom už záleží jen na virech, které se usadí v instalaci Outlooku, jakým způsobem naloží s napadeným PC. Protože spuštěný Outlook běží v systému s právy roota, je možné prakticky cokoliv.

Jiným způsobem samotný virus neškodí.

Hlavním nebezpečím je ale ztráta důvěryhodnosti Linuxu. Virus Lirpa.x1 zbavuje Linux pověsti bezpečného systému a jeho bezpečnost staví na roveň takovým systémům, jako je řada Windows 95, 98 a Me.

Obrana

Proti viru Lirpa.x1 zatím prakticky neexistuje obrana. Antivirové společnosti z velké většiny ignorují Linux úplně a většina antivirových programů ve Windows není schopná virus detekovat, protože nedovede rozbalit soubor typu tgz. A je-li navíc virus posílán poštou v zašifrované podobě, je jeho detekce v zásadě zcela nemožná.

Do současnosti stačila zareagovat pouze společnost Novell a vydala pro Suse Linux 9.0 záplatu poštovního klienta kmail. Ta zaručí, že všechny přílohy s příponou tgz budou automaticky smazané.

Ostatní distribuce a poštovní klienti zůstávají bez ochrany.

Jedinou účinnou obranou tak zůstává opatrnost. Kvůli šifrování nelze použít ani antispamové filtry ani antivirové programy a mnoho exemplářů viru Lirpa.x1 se tak dostane až ke svým koncovým adresátům.

Pro uživatele Linuxu tak od nynějška platí, že ani oni nesmí bezmyšlenkovitě spouštět každou přílohu v poště.

Virus komentoval i Steve Balmer z Microsoftu. Podle jeho vyjádření nemusí mít z tohoto viru obavy uživatelé produktů Microsoftu. Zároveň dodal, že společnost Microsoft bude poskytovat bezpečnostní záplaty i pro Outlook běžící pod zavirovaným Linuxem a nebude vyžadovat platnou licenci.

Závěr

Je politováníhodné, že Linux začínají používat i lidé, kteří nemají o počítačové bezpečnosti žádné informace a ignorují základní bezpečnostní pravidla. Je smutné, kolik lidí se nachytá i na zjevné nesmysly a šíří pak tuto nákazu ve svém okolí dál.

Doufejme, že virus Lirpa.x1 zůstane osamocený a podobně nepříjemná zpráva se neobjeví dříve než přesně za rok.

Nástroje: Tisk bez diskuse