2008 Жовтень 16

Вірус для Linux

Жовтень 16th, 2008

Новина: Завершився конкурс на кращий вірус для UNIX-систем Єдиний учасник конкурсу отримав приз, не побоявшись показати публіці своє звірятко. Публіка інтенсивно чухає потилиці, намагаючись оцінити досягнутий результат

Оринінальну розробку можна взяти на сайті конкурсу. . Я дозволив собі дещо розвинути ідею автора, мій варіант лежить тут, саме його і раджу скачати.

Інструкція з використання: розпакувати архів, виконати make. Перейти в директорію bin, там буде три файли: miklyvir, atest1 та atest2. Це, відповідно, “батько” вірусу та пара тестових файлів — “жертви”. Запускаєте ./milkyvir, він заражає atest1 (перший ліпший неінфікований файл у директорії). Запускаєте ./atest1, він інфікує atest2. Результати можна подивитися в hex-редакторі.
Попередження #1: вірус інфікує перший “здоровий” виконуваний файл, який знайдеться в поточному каталозі. Тому краще запускати, знаходячись в каталозі milkydir/bin/. Інакще, самі розумієте… Антивірусу не передбачено
Попередження #2: Вбудований в mc hex-редактор занадто інтелектуальний. Він показує лише першу частину файлу (тіло вірусу), а оригінальну програму і підпис приховує. Така сволота..
Попередження #3: Про всяк випадок, грайтеся з ним під звичайним акаунтом, а не під root.

Принцип дії. Наполегливо раджу заглянути у вихідний код, там дуже багато коментарів, одразу все стає ясно. Основна ідея наступна. “Батько” вірусу, якщо його запустити знаходить у поточній директорії ELF-файл — жертву і заражає його: записує на початок тіло вірусу. Тепер, коли ви запустите інфікованй файл-жертву, насправді виконається вірусу. По-перше, він спробує знайти і заразити ще якийсь файл. По-друге, виконає оригінальний файл, щоб ви нічого не помітили. В кінець зараженого файлу додається слово “Moloko” — ознака того, що файл заражено, щоб не інфікувати цей файл при наступних запусках. Молоко так часто згадується, бо автор цього створіння виступає під ніком Весёлый Молочник.

Зрозуміло, що реальну шкоду звірятко наврядчи може принести: звичайний користувач не має права на запис у /bin. Але формально все правильно — воно розмножується без відома власника ЕОМ.

Таке от життя в електронному просторі

Категорії: Життя | Теґи:linux, вірус | Коментарів: 4s