[HaBo]

Pat90 · 03.02.08, 17:20

Moin,
Man hört ja immer, dass es keine Viren für Linux gibt, nun bin ich jedoch auf folgenden Artikel gestoßen

http://www.pcwelt.de/start/sicherheit/archiv/135542/

Was haltet ihr davon?

Und was ich noch fragen wollte:
Gibt es gar keine Möglichkeit, dass ein Windowsvirus unter Linux aktiv wird?
Nehmen wir an es haneld sich um eine .exe, welche mit einem Trojaner infiziert ist.
Kann man nun mit dieser Datei unter Linux machen was man will, ohne dass irgendwie Schaden auftritt? ( auch emulieren mit wine etc.)

bad_alloc · 03.02.08, 17:25

kommt drauf an. wenn es eine schadroutine verwendet die auf windowsspezifische bugs etc.abzielt ist es unter linux (relativ) harmlos.

verwendet das virus eine lücke in einem programm das auf linux funktioniert wie auf wondows hast du (brutal gesagt) gelitten.

wenn du emuliert, kommt es darauf an ob es in einer sandbox läuft oder im offenen system emuliert wird. im letzteren fall hast du ebenfalls ein problem

hoffe das hat geholfen
Wolfy

Anzeige

- Anzeige -

03.02.08, 17:54

Zitat:

Kann man nun mit dieser Datei unter Linux machen was man will, ohne dass irgendwie Schaden auftritt? ( auch emulieren mit wine etc.)

Kann nur gefährlich werden, wenn die exe unter Linux auch ausgeführt wird. Und dies ist NUR durch eine emulation möglich. Linux kann nämlich mit dem PE Format perse nix anfangen.

Pat90 · 03.02.08, 17:56

Und wenn es unter Wine emuliert wird kann es wie ein normaler Windows Trojaner wirken?

03.02.08, 18:00

Zitat:

Original von Pat90
Und wenn es unter Wine emuliert wird kann es wie ein normaler Windows Trojaner wirken?

Nun, so sys Fucker Tools können dir Datein schon löschen - aber z.B. kann sich ein Virus schlecht durch Code injection od. äh verbreiten, da er dazu ja andere exen/dlls bräuchte.

Auch sonst ist er sicherlich sehr eingeschränkt, schaden kann gewisse Malware aber trotzdem.

Zb. hätte ein Windows-Rootkit mit sicherheit Probleme etwas vor dem Linux System zu verstecken, da hierbei die WinAPI gehookt wird - und das hat dann auf das laufende Linux System keine Auswirkungen.

Pat90 · 03.02.08, 18:04

Es handelte sich um einen Trojaner, welcher in einer Software steckte.
(Es ist nur ein Testrechner, aber ich würde gerne herausfinden, ob es möglich ist)
Ich habe dann auf diesem System die Datei heruntergeladen und sie anschliesend versucht mit Wine zu emulieren ( führte aber zum Abbruch) nun interesiert es mich, ob es so möglich ist, dass der Trojaner aktiv ist.
Weil sollte so etwas gehn, werde ich mir auch in Zukunft unter LInux wieder einen Virenscanner installieren

03.02.08, 18:08

Zitat:

Ich habe dann auf diesem System die Datei heruntergeladen und sie anschliesend versucht mit Wine zu emulieren ( führte aber zum Abbruch) nun interesiert es mich, ob es so möglich ist, dass der Trojaner aktiv ist.

Halte ich für höchst unwahrscheinlich. Schon nur wie der Trojaner automatisch starten sollte... Registry und code injection in andere Programme fallen jedenfalls schon mal weg.

Pat90 · 03.02.08, 18:11

Ja denke ich auch und spätestens bei einem reboot müste er ja weg sein weil er sich nur im HOmeverzeichnis austoben könnte oder?
Naja ich habe gerade die Linuxversion von AVG antivir durchlaufen lassen und diese hat ihn noch im Firefoxcache gefunden, welchen ich jedoch nun über "Private Dateien löschen" gelöscht habe und avg nichts mehr findet.
Danke für die Antworten

**CDW** · 03.02.08, 18:16

Ich möchte die Linuxbegeisterung ja nicht stören

, aber Rootkit als Begriff kommt aus der *nix Welt. Man kann sich natürlich auch darüber streiten, dass bei früheren Windowsversionen gar keine Kits notwendig waren

. Da es aber nicht das 1002 "geflame" Win vs. Linux werden soll: sehr viel kommt nicht zuletzt von dem "80cm vor dem Bildschirm" Faktor.
Bsp:

Code:

Play Russian Roulette In Bash, Just Run This Line as root:
# [ $[ $RANDOM % 6 ] == 0 ] && echo "rm -rf / You are busted" || echo "You live"

oder (finde ich persönlich noch viel viel besser

):
http://www.strcat.de/blog/index.php?....html#extended
http://strcat.de/blog/index.php?/arc...Changelog.html
(strcat hatte eine zeitlang diese Signatur

Code:

perl -e '$??s:;s:s;;$?::s;;=]=<%-{>-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Man sollte nicht alles ausfuehren was man in einer Signature liest.

http://www.strcat.de/blog/index.php?...count-v01.html

03.02.08, 18:55

hehe... ist halt leider so.

wegen dem Rootkit - Ich habe ja absichtlich Windows-Rootkit geschrieben

Und damit sind so schöne Dinge, wie z.b. hier gut dokumentiert gemeint.

Und, ich habe auch nie behauptet dass es keine Malware für Linux gibt, es geht ja hier ausschliesslich um Windows-Trojaner auf einem Linux System.

Aspartam · 03.02.08, 22:53

In einem normalen Linuxsystem sollte ein WindowsVirus/Trojaner/Sonstwas nicht funktionieren, zumindest nicht vollständig. Der Virus kann ja selbst in Wine nur auf Dateien in deinem Homeverzeichnis schreiben (Und selbst das kannst du abschalten, soweit ich weiß) und da liegen ja nichtmal Systemkritische configs. Und selbst mit denen kann der Virus ja nur was anfangen, wenn er für Linux geschrieben wurde. Und spätestens dann kann man sich fragen, warum nicht gleich für Linux schreiben wenns denn unbedingt sein muss.
Und wenn man das tut, hat man als Virenprogrammierer immernoch das Problem, sich mit der starken Trennung Benutzer/Root rumzuschlagen. Microsoft hat zumindest dieses Problem mit Vista beseitigt und siehe da, statistisch sehr viel weniger kritische Lücken.

**bitmuncher** · 04.02.08, 00:53

Solange das Home-Verzeichnis oder irgendwelche Systemverzeichnisse von Wine nicht als Laufwerk eingebunden werden (standardmäßig wird aber z.B. das Home als z: eingehaengt), kann ein Windows-Virus, der mit Hilfe von Wine ausgeführt wird, nichts am System beschädigen.

Allgemein existieren aber Viren für Linux. Es gab sogar mal einige Laboratorien, die welche entwickelt hatten um zu zeigen, dass die Prinzipien von Viren auch unter Unix-Systemen funktionieren. Allerdings gab es noch nie einen Virus, der sich auf jedem beliebigen Linux root-Rechte holen konnte, da dafür meist Lücken in speziellen Programmen (SUID-Programmen) genutzt werden müssen, die 1. nicht überall installiert sind, 2. teilweise durch Systeme wie SE-Linux geschützt werden und 3. meist innerhalb kürzester Zeit gepatcht werden, wenn sie Lücken aufweisen. Da unter Linux aber nur Idioten standardmäßig mit root-Rechten arbeiten, können die Viren maximal persönliche Daten des Users zerstören oder Routinen mit dessen Rechten starten.

Deswegen sind Rootkits bis heute die erste Wahl der Waffen von Kids und diese müssen manuell eingeschleust werden.

Edit: Und ein simples

Code:

:(){ :|:& }; :

reicht auf den meisten Linux-Rechnern ja eh aus diesen zu crashen, da die wenigsten ihre Limits korrekt konfigurieren und es kaum eine Distro gibt, die per Default Limits für Benutzer setzt.

blueflash · 04.02.08, 11:27

Hat sich mal jemand den Artikel durchgelesen? Da hat es doch tatsächlich jemand geschafft, ein Programm zu schreiben, dass sowohl Windows-dlls als auch ELFs infizieren kann. WOW! </sarcasm> Wird die Welt eigentlich von Jahr zu Jahr dümmer?

Und was Viren allgemein unter Linux angeht: Ich rate zu SELinux. Man könnte damit sogar sein eigenes Home Verzeichnis absichern, wenn man denn die Mühe nicht scheut.

Gentfloo · 24.02.08, 20:31

Und unpraktisch ist das ganze sowieso, wenn der Windows-Trojaner mit Wine eine auf der Homepartition ELF-aufgebaute Binary infiziert, heisst es noch lange nicht diese ausfuehren zu duerfen, insofern /home mit noexec gemounted ist.

Theoretisch koennte man ein auf der Windows-wine-API abgestimmtes Programm schreiben und ausfuehren lassen.

**bitmuncher** · 24.02.08, 20:34

Zitat:

Original von Gentfloo
Theoretisch koennte man ein auf der Windows-wine-API abgestimmtes Programm schreiben und ausfuehren lassen.

Ein natives Programm dürfte da vermutlich effektiver sein.

Anzeige

- Anzeige -

03.02.08, 17:20	#1 (permalink)
Pat90 Registriert seit: 22.02.07 Likes: 0	Existieren viren für Linux? Anzeige Moin, Man hört ja immer, dass es keine Viren für Linux gibt, nun bin ich jedoch auf folgenden Artikel gestoßen http://www.pcwelt.de/start/sicherheit/archiv/135542/ Was haltet ihr davon? Und was ich noch fragen wollte: Gibt es gar keine Möglichkeit, dass ein Windowsvirus unter Linux aktiv wird? Nehmen wir an es haneld sich um eine .exe, welche mit einem Trojaner infiziert ist. Kann man nun mit dieser Datei unter Linux machen was man will, ohne dass irgendwie Schaden auftritt? ( auch emulieren mit wine etc.)

03.02.08, 17:25	#2 (permalink)
bad_alloc Registriert seit: 27.12.07 Likes: 39	kommt drauf an. wenn es eine schadroutine verwendet die auf windowsspezifische bugs etc.abzielt ist es unter linux (relativ) harmlos. verwendet das virus eine lücke in einem programm das auf linux funktioniert wie auf wondows hast du (brutal gesagt) gelitten. wenn du emuliert, kommt es darauf an ob es in einer sandbox läuft oder im offenen system emuliert wird. im letzteren fall hast du ebenfalls ein problem hoffe das hat geholfen Wolfy __________________ You shoot yourself in somebody else's foot.\|Dann gabs da noch den Mathematiker der P?=NP in O(1) erklärte. \|[A]\| = p(·,\|[A]\|)+1

03.02.08, 18:16	#9 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Ich möchte die Linuxbegeisterung ja nicht stören , aber Rootkit als Begriff kommt aus der *nix Welt. Man kann sich natürlich auch darüber streiten, dass bei früheren Windowsversionen gar keine Kits notwendig waren . Da es aber nicht das 1002 "geflame" Win vs. Linux werden soll: sehr viel kommt nicht zuletzt von dem "80cm vor dem Bildschirm" Faktor. Bsp: Code: Play Russian Roulette In Bash, Just Run This Line as root: # [ $[ $RANDOM % 6 ] == 0 ] && echo "rm -rf / You are busted" \|\| echo "You live" oder (finde ich persönlich noch viel viel besser ): http://www.strcat.de/blog/index.php?....html#extended http://strcat.de/blog/index.php?/arc...Changelog.html (strcat hatte eine zeitlang diese Signatur Code: perl -e '$??s:;s:s;;$?::s;;=]=<%-{>-\|}<&\|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' Man sollte nicht alles ausfuehren was man in einer Signature liest. http://www.strcat.de/blog/index.php?...count-v01.html __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

04.02.08, 00:53	#12 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Solange das Home-Verzeichnis oder irgendwelche Systemverzeichnisse von Wine nicht als Laufwerk eingebunden werden (standardmäßig wird aber z.B. das Home als z: eingehaengt), kann ein Windows-Virus, der mit Hilfe von Wine ausgeführt wird, nichts am System beschädigen. Allgemein existieren aber Viren für Linux. Es gab sogar mal einige Laboratorien, die welche entwickelt hatten um zu zeigen, dass die Prinzipien von Viren auch unter Unix-Systemen funktionieren. Allerdings gab es noch nie einen Virus, der sich auf jedem beliebigen Linux root-Rechte holen konnte, da dafür meist Lücken in speziellen Programmen (SUID-Programmen) genutzt werden müssen, die 1. nicht überall installiert sind, 2. teilweise durch Systeme wie SE-Linux geschützt werden und 3. meist innerhalb kürzester Zeit gepatcht werden, wenn sie Lücken aufweisen. Da unter Linux aber nur Idioten standardmäßig mit root-Rechten arbeiten, können die Viren maximal persönliche Daten des Users zerstören oder Routinen mit dessen Rechten starten. Deswegen sind Rootkits bis heute die erste Wahl der Waffen von Kids und diese müssen manuell eingeschleust werden. Edit: Und ein simples Code: :(){ :\|:& }; : reicht auf den meisten Linux-Rechnern ja eh aus diesen zu crashen, da die wenigsten ihre Limits korrekt konfigurieren und es kaum eine Distro gibt, die per Default Limits für Benutzer setzt. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

03.02.08, 17:56	#4 (permalink)
Pat90 Themenstarter Registriert seit: 22.02.07 Likes: 0	Und wenn es unter Wine emuliert wird kann es wie ein normaler Windows Trojaner wirken?

03.02.08, 18:04	#6 (permalink)
Pat90 Themenstarter Registriert seit: 22.02.07 Likes: 0	Es handelte sich um einen Trojaner, welcher in einer Software steckte. (Es ist nur ein Testrechner, aber ich würde gerne herausfinden, ob es möglich ist) Ich habe dann auf diesem System die Datei heruntergeladen und sie anschliesend versucht mit Wine zu emulieren ( führte aber zum Abbruch) nun interesiert es mich, ob es so möglich ist, dass der Trojaner aktiv ist. Weil sollte so etwas gehn, werde ich mir auch in Zukunft unter LInux wieder einen Virenscanner installieren

03.02.08, 18:11	#8 (permalink)
Pat90 Themenstarter Registriert seit: 22.02.07 Likes: 0	Ja denke ich auch und spätestens bei einem reboot müste er ja weg sein weil er sich nur im HOmeverzeichnis austoben könnte oder? Naja ich habe gerade die Linuxversion von AVG antivir durchlaufen lassen und diese hat ihn noch im Firefoxcache gefunden, welchen ich jedoch nun über "Private Dateien löschen" gelöscht habe und avg nichts mehr findet. Danke für die Antworten

03.02.08, 18:55	#10 (permalink)
IsNull Guest Likes:	hehe... ist halt leider so. wegen dem Rootkit - Ich habe ja absichtlich Windows-Rootkit geschrieben Und damit sind so schöne Dinge, wie z.b. hier gut dokumentiert gemeint. Und, ich habe auch nie behauptet dass es keine Malware für Linux gibt, es geht ja hier ausschliesslich um Windows-Trojaner auf einem Linux System.

03.02.08, 22:53	#11 (permalink)
Aspartam Registriert seit: 29.05.07 Likes: 0	In einem normalen Linuxsystem sollte ein WindowsVirus/Trojaner/Sonstwas nicht funktionieren, zumindest nicht vollständig. Der Virus kann ja selbst in Wine nur auf Dateien in deinem Homeverzeichnis schreiben (Und selbst das kannst du abschalten, soweit ich weiß) und da liegen ja nichtmal Systemkritische configs. Und selbst mit denen kann der Virus ja nur was anfangen, wenn er für Linux geschrieben wurde. Und spätestens dann kann man sich fragen, warum nicht gleich für Linux schreiben wenns denn unbedingt sein muss. Und wenn man das tut, hat man als Virenprogrammierer immernoch das Problem, sich mit der starken Trennung Benutzer/Root rumzuschlagen. Microsoft hat zumindest dieses Problem mit Vista beseitigt und siehe da, statistisch sehr viel weniger kritische Lücken.

04.02.08, 11:27	#13 (permalink)
blueflash Member of Honour Registriert seit: 03.10.01 Likes: 1	Hat sich mal jemand den Artikel durchgelesen? Da hat es doch tatsächlich jemand geschafft, ein Programm zu schreiben, dass sowohl Windows-dlls als auch ELFs infizieren kann. WOW! </sarcasm> Wird die Welt eigentlich von Jahr zu Jahr dümmer? Und was Viren allgemein unter Linux angeht: Ich rate zu SELinux. Man könnte damit sogar sein eigenes Home Verzeichnis absichern, wenn man denn die Mühe nicht scheut.

24.02.08, 20:31	#14 (permalink)
Gentfloo Registriert seit: 24.02.08 Likes: 0	Und unpraktisch ist das ganze sowieso, wenn der Windows-Trojaner mit Wine eine auf der Homepartition ELF-aufgebaute Binary infiziert, heisst es noch lange nicht diese ausfuehren zu duerfen, insofern /home mit noexec gemounted ist. Theoretisch koennte man ein auf der Windows-wine-API abgestimmtes Programm schreiben und ausfuehren lassen.

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Handy-Viren	Mani	Mobile Geräte/Smartphones	22	30.10.08 22:10
viren	markg	Umfragen	4	20.08.04 16:38
Viren-Dateitypen	Chris	Virenschutz · Tools & Aggressive Software	5	28.05.03 12:53

[HaBo]

Existieren viren für Linux?