Virus oder Wurm "55808"

J

juedan

Guest
Hallo an die Gemeinde.

Im Heise-newsticker habe ich unter der Überschrift "Mysterium 55808" etwas über einen Virus oder Wurm (die Fach weiß es noch nicht) "55808" gelesen, dass hiervon neben Windows auch Linux-Systeme betroffen sein sollen.

Meine Frage ist nun: Ich habe in meinem FreeBSD 4.7 stable die Linux-Emulation aktiviert. Kann meinem System dieser Virus/Wurm etwas anhaben?
Um ins Internet zu kommen starte ich als normaler User ein XTerm, logge mich als root ein und stosse die Internet-Verbindung an. Das eigentliche Surfen mache ich als Normal-User. Kann mir dann dieser "55808" etwas anhaben?

Nach dem Lesen des Artikels bin da nachdenklich geworden und deswegen drängen sich mir diese Fragen auf.
Sorry, falls es off-topic sein sollte, aber ich denke, es passt noch am besten hier her.

Viele Grüße und danke für die Antworten.

PS: Hier ist der Link zum Artikel Mysterium 55808
 
Original geschrieben von juedan
Hallo an die Gemeinde.

Meine Frage ist nun: Ich habe in meinem FreeBSD 4.7 stable die Linux-Emulation aktiviert. Kann meinem System dieser Virus/Wurm etwas anhaben?
Zum Vergrößern anklicken....


*BSD-Systeme emulieren Linux-Programme und nicht Linux-Würmer.

Mach dir also keinen Kopf.

Gruß

CW
 
Ich finde die Angaben in dem Link etwas ungenau, die letztendlich wichtige Frage wie man sich den Wurm einfängt sind dadurch nicht gegessen.
Grundsätzlich ist es wohl schon möglich das er auch unter BSD zum laufen zu bringen ist, aber um darüber ein Urteil zu fällen sind die Informationen die ich auf die Kürze auftreiben konnte zu wenig.

buebo
 
Linux-Würmer

Ein Wurm nützt eine bekannte (oder auch noch unbekannte) Schwäche eines Systems aus.

Das beste Beispiel ist der Morris-Wurm: http://www.pcwelt.de/ratgeber/viren_co./virenlexikon/9992/

Dieser neue 55808-Linux-Wurm nützt Linux-Schwächen aus und kann somit, selbst wenn er zum Laufen gebracht worden wäre, keinen Schaden unter BSD anrichten.

Gruß

CW
 
Bist du dir sicher das man das so pauschal sagen kann, solange man nicht weiss welche Schwäche er genau ausnutzt?
Ich meine er könnte doch auch genauso eine Schwäche einer Software ausnutzen die sowohl auf Linux wie auch auf BSD läuft.
Fazit: Ich halte es für Denkbar, wenn auch unwahrscheinlich.
Frage in die Runde: Jemand eine Idee wie man einfach alle ausgehenden Packete mit spezieller Window-Size filtern und loggen kann?

buebo
 
Pakete Filtern

Original geschrieben von buebo
Bist du dir sicher das man das so pauschal sagen kann, solange man nicht weiss welche Schwäche er genau ausnutzt?



Dafür sind die Platformen doch zu unterschiedlich.



Ich meine er könnte doch auch genauso eine Schwäche einer Software ausnutzen die sowohl auf Linux wie auch auf BSD läuft.



Wäre theoretisch denkbar, doch in den letzten 10 (rund) Jahren (seit es Linux und freie BSDs gibt) habe ich nix von so einer Doppel-Infektion gehört.

Ich bitte um Berichtigung, wenn jemand doch was davon erfahren hat.



Fazit: Ich halte es für Denkbar, wenn auch unwahrscheinlich.
Frage in die Runde: Jemand eine Idee wie man einfach alle ausgehenden Packete mit spezieller Window-Size filtern und loggen kann?



Wie wäre es damit: http://www.richardsharpe.com/richard/ethereal/user-guide/book1.html

ist 'ne gute FAQ zum Ethereal :)

Regards

CW



buebo [/B]
Zum Vergrößern anklicken....
 
Re: Re: Virus oder Wurm "55808"

Guten Morgen.

Original geschrieben von ColdWisdom
*BSD-Systeme emulieren Linux-Programme und nicht Linux-Würmer.

Mach dir also keinen Kopf.

Gruß

CW
Zum Vergrößern anklicken....

sorry, wenn ich da direkt werde, aber ich kann mir nicht vorstellen, dass die Linux-Emulation erkennen kann, ob da ein Wurm, Virus oder ein Programm vorliegt. Insofern halte ich diese Äußerung für extrem gewagt!

Wenn ich die landläufige Definition für Programm anwende, dann ist auch ein Wurm ein Programm, das ausgeführt werden muß um sich zu verbreiten und/oder unliebsame Hinterlassenschaften zu produzieren.

Dieser neue 55808-Linux-Wurm nützt Linux-Schwächen aus und kann somit, selbst wenn er zum Laufen gebracht worden wäre, keinen Schaden unter BSD anrichten.
Zum Vergrößern anklicken....

Dazu habe ich eine Frage: Mußte man die Schwächen in die Emulation einbauen, um eine höchst-mögliche Komatibilität zu erreichen? Das frage ich jetzt mal einfach so - bitte nicht hauen:D
Vorher hatte ich mit OS/2 gearbeitet und dort gab es ein Projekt namens ODIN, das ein Windows-API-nach-OS/2-Umsetzer darstellt. Damit eine höchst-möglich Kompatibilität erreicht werden konnt, wurden einige API-Fehler von Windows eingebaut, damit bestimmte Software läuft.

Kann IPFW(2) Pakete mit spezieller window-size heraus filtern und protokollieren - vielleicht ein Trick, der nicht in den man-pages enthalten ist?

Vielen Dank für die interessante Diskussion.

Jürgen
 
Re: Re: Re: Virus oder Wurm "55808"

Original geschrieben von juedan
Guten Morgen.



sorry, wenn ich da direkt werde, aber ich kann mir nicht vorstellen, dass die Linux-Emulation erkennen kann, ob da ein Wurm, Virus oder ein Programm vorliegt. Insofern halte ich diese Äußerung für extrem gewagt!



Wie ich es schon gesagt habe: selbst wenn das Biest zum Laufen gebracht worden wäre, müsste es auch noch die Schwächen des jeweiligen Systems (also hier BSD) vorhanden haben, damit es sein Unwesen treiben kann.




Wenn ich die landläufige Definition für Programm anwende, dann ist auch ein Wurm ein Programm, das ausgeführt werden muß um sich zu verbreiten und/oder unliebsame Hinterlassenschaften zu produzieren.



Das ist uns allen hier bekannt. Ausserdem habe ich oben schon gesagt, warum dies nicht geht. Es hat nicht so sehr damit zu tun, dass der Wurm zum Laufen gebracht wird, sondern, dass dieser (selbst wenn er laufen würde) nicht die Fehler (Lücken) in *BSD findet, die er braucht, um Probleme zu machen.





Dazu habe ich eine Frage: Mußte man die Schwächen in die Emulation einbauen, um eine höchst-mögliche Komatibilität zu erreichen? Das frage ich jetzt mal einfach so - bitte nicht hauen:D
Vorher hatte ich mit OS/2 gearbeitet und dort gab es ein Projekt namens ODIN, das ein Windows-API-nach-OS/2-Umsetzer darstellt. Damit eine höchst-möglich Kompatibilität erreicht werden konnt, wurden einige API-Fehler von Windows eingebaut, damit bestimmte Software läuft.



Was denkst du, wie die Jungs von den jeweiligen Projekten vorgehen, wenn sie Linux emulieren? Denkst du allen Ernstes, dass sie (wenn sie Fehler im Linux-Code finden würden) sowas "einfach so lassen würden, wie es ist"? Ausserdem kümmern sich die BSD-Leute nicht um den Linux-Sourcecode.

Weiter unten gebe ich dir ein paar Links zu Linux-Emulation auf *BSD.

Warum sollte ein Fehler, für die Lauffähigkeit der Emulation notwendig sein? Ausserdem läuft die sogenannte "Linux-Emulation" nicht wie eine typische Emulation eines x-beliebigen Systems. Linux ist ein Unix-ähnliches System wie die *BSDs auch. Daher muss da nicht das System komplett emuliert werden. Dieser Vorgang ist mit der Bezeichnung "Binäremulation" besser beschrieben, als mit Emulation, denn niemand hat hier vor, BSD zum Linux zu machen, um Linux-Programme laufen lassen zu können. Hier kannst du es nachlesen, damit da keine Konfusionen mehr entstehen:
http://www.netbsd.org/de/Documentation/compat.html (NetBSD)

http://www.FreeBSD.org/doc/de_DE.ISO8859-1/books/handbook/linuxemu.html (FreeBSD)

http://www.openbsd.org/cgi-bin/man.cgi?query=compat_linux&sektion=8&format=html (OpenBSD)


Kann IPFW(2) Pakete mit spezieller window-size heraus filtern und protokollieren - vielleicht ein Trick, der nicht in den man-pages enthalten ist?



Mit Ethereal geht es und dies habe ich oben bereits angegeben. Siehe in den vorherigen Postings nach, bevor du noch einmal dieselbe Frage stellst.

Und nochwas: Wir sprechen selten von Tricks und vielmehr von Lösungen bzw. Problem-Lösungen :)

Tricks brauchts du in anderen (Closed-Source)-Systemen.


Gruß

CW
Zum Vergrößern anklicken....
 
naja, irgendwie scheinen sich ja auch die wirklichen experten nicht so ganz sicher zu sein was diesen wurm/trojaner angeht.
aber als laie:
warum sollte die linux-emulation das ding nicht auch zu laufen bekommen? kann man nicht ein linux-tcpdump-binary auf freebsd laufen lassen? also falls das gehen sollte, duerfte der rest ja fuer so eine binary nicht alszu schwierig sein (packete in der richtigen groesse zu versenden).
andererseits denke ich duerfte es kein groesseres problem sein das ding nach *bsd zu portieren?
 
Original geschrieben von kith
naja, irgendwie scheinen sich ja auch die wirklichen experten nicht so ganz sicher zu sein was diesen wurm/trojaner angeht.
aber als laie:
warum sollte die linux-emulation das ding nicht auch zu laufen bekommen? kann man nicht ein linux-tcpdump-binary auf freebsd laufen lassen? also falls das gehen sollte, duerfte der rest ja fuer so eine binary nicht alszu schwierig sein (packete in der richtigen groesse zu versenden).
andererseits denke ich duerfte es kein groesseres problem sein das ding nach *bsd zu portieren?
Zum Vergrößern anklicken....

Ein Wurm kann vielleicht zum Laufen gebracht werden, aber er braucht noch das Vorhandensein der Lücken im jeweiligen System, um sein Unwesen "erfolgreich" treiben zu können. Das ist der Knackpunkt.

Versteht, bitte, dass ein ausgeführter Wurm noch keine Gefahr für das System ist, solange er nicht die Umgebung findet, in der er "gedeihen" kann.

Viren/Würmer und andere Malicious-Software nutzen SCHWÄCHEN der Systeme aus und bauen keine neuen ein.

Gruß

CW
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben