Zeta RC3

[jajazeta]

moin,
hab doch geschrieben,das es darauf ankommt,auf welche systemresourcen das teil zugreift.ausserdem ist die speicherverwaltung nicht ganz unerheblich.
Wer sich schon einmal die Anatomie eines EXE-Virus unter DOS angesehen hat, ist von seiner Einfachheit erstaunt. Ein Virus erzeugt ein neues Programmsegment mit seinem Sabotage-Code, hängt sich an das Ende der EXE an und führt sich selbst beim Start des Programms aus. Anschließend patcht er fleißig im Speicher umher, um sich im Speicher festzusetzen und beispielsweise den DOS-Funktionen-Interrupt 21h zu infizieren. Über diesen Interrupt 21h sorgt er dann auch für seine weitere Verbreitung.

Unter Linux müssen diese beiden Schritte - Infektion und Verbreitung - ebenfalls gelöst werden. Entgegen dauerhafter Falschinformationen können ELF-Binaries ähnlich wie EXE-Dateien infiziert werden. Das Anhängen von weiteren Programmsegmenten ist kein Problem. Im Gegenteil: Viren können sich sogar in "Füllinformationen" von ELF-Segmenten einnisten, so dass teilweise gar kein separates - und leicht zu identifizierendes - Segment notwendig ist. Lediglich der unter DOS so beliebte, sich selbst im Speicher modifizierende Code, ist unter Linux nicht möglich. Doch diese Probleme lassen sich auch anders lösen.

Die Infektion durch Patchen von Binaries im Dateisystem ist also kein Problem unter Linux. Die Vermehrung hingegen auf den ersten Blick schon eher. Wie soll sich ein Linux-Virus aus einem ELF-Programm in eine zentrale Systemfunktion ähnlich dem DOS-Funktionen-Interrupt einhängen? Das ist zwar schwierig aber auch nicht unmöglich.

Hierzu ist es nötig, die Kernel-Binaries zu patchen. Ein etwas umfangreiches Unterfangen, da kaum ein Kernel dem anderen gleicht. Je nach verwendetem Compiler, Einstellungen zur Optimierung und Kernelversion sieht das Binary des Kernels anders aus. Prinzipiell ist dieses Problem aber lösbar.Für die Verbreitung von Viren ist es aber gar nicht notwendig, wie beim alten DOS vorzugehen! Die Lösung heißt: Daemons und Libraries. Wenn ein Virus einen Daemon, wie zum Beispiel sendmail, infizieren kann, muss er sich über seine Verbreitung keine Gedanken mehr machen. Daemons bieten außerdem ein wahres Paradies für spätere Hacker-Attacken. Hier wären die X11-Displaymanager, wie xdm, kdm oder gdm, aber auch syslogd selbst zu nennen. Wozu Passwörter cracken, wenn sie beim Eintippen im Klartext erkannt werden können.

Außerdem ist es möglich, dass der Virus direkt die Binaries im Dateisystem infiziert. Sollte es ihm außerdem gelingen, Libraries, wie etwa die C-Library, zu infizieren, sitzt er ohnehin in jedem dynamisch gelinkten Programm.

Red Heat Linux machte zum Beispiel von sich reden im Bezug auf den Ramen Worm. Dabei wurden Sicherheitslücken in rpc.statd und wu-ftpd ausgenutzt. Es wurden E-Mails an Webbasierende Mail Accounts gesendet. Dadurch wurde die Internetbandbreite enorm belastet. Dies stellte auch den eigentlichen Schaden dar.

Der seit Februar in den USA aufgetretene Wurm Lion ersetzt jedoch verschiedene Systemdienste um seine Verbreitung zu sichern und seine Existenz zu verschleiern. Ebenfalls wurden Passwörter ausspioniert, welche zum Missbrauch von diversen Hintertüren verwendet werden konnten.

noch fragen?