http://www.zago.eti.br/virus.txt

Use CTRL+F para refinar a pesquisa.

Linha de:   ****************   separa mensagens ou tópicos.

********************************************************
Zago
http://www.zago.eti.br/menu.html
FAQ  e artigos sobre Linux

veja também:

http://www.zago.eti.br/antivirus.txt
http://www.zago.eti.br/antivirus-amavis.txt
http://www.zago.eti.br/email/mailscanner.txt
****************************************************************


Virus em Linux ! ! !
Tem mas não é necessário, o custo não compensa o beneficio.
Na internet tem algumas matérias falando de virus em Linux que  não chega
a meia duzia de  virus, worms, trojam ou coisa parecida. Alguns relatam 
algo em torno de 30 vírus.

Acompanho estas noticias desde 1.998, nunca peguei um vírus em meus servidores 
ou estações de trabalho. Cheguei a conclusão que são vírus de conceito. São
criados em laboratório para provar que pode existir mas não propagam, 
aproveitam para divulgar e fazer alarde, parece artigo de publicidade das 
empresas de anti-vírus. Sempre que ler alguma coisa sobre vírus em Linux, 
procure entender e confirmar o que está acontecendo, acompanhe por alguns dias 
ou meses para notar que não deu em nada, era alarme falso, noticia maldosa ou falsa.

O que é vírus?
Vírus é qualquer programa malicioso que infecte executáveis, que se instalam
no sistema independente da ação ou vontade do operador, vírus é um programa
capaz de se instalar em outros programas, modificando-os para incluir copia
si mesmo, como um parasita, passa a integrar o programa contaminado.
Em toda execução do programa contaminado o vírus também será e causara danos.
São diferentes dos trojan ou executáveis malignos, que o usuário precisa
executa-lo pra se instalar e causar dano ao sistema.

O que temos em qualquer sistema operacional são programas e scripts malignos
que nenhum antivirus detecta e falhas nos programas que permite a invasão
do sistema, embora tenha programas firewall para detectar estas falhas, estes
também tem suas próprias falhas que podem ser exploradas e invadido.

Linux usado corretamente, isto é nunca usar root para o que pode ser feito
como user normal não permitirá que um possível vírus propague pelo sistema
e também reenvie para outras maquinas e portanto impedindo a propagação.
Alguns vírus que foram divulgados para Linux na verdade funcionavam em
laboratorios de testes mas nenhum nunca se espalhou pela internet como os
vírus para Windows.
Uma boa política é manter os micros que ficam de cara para a internet com
seus pacotes atualizados para diminuir a possibilidade de uma invasão, tal
como no Windows a invasão pode ocorrer também no Linux e a entrada
é feita por vulnerabilidade de algum pacote rodando nesta maquina, que
nos pacotes mais recentes são corrigidos e dificultando o trabalho do invasor
para ganhar o direito de root na sua maquina.
Maquina que de alguma forma disponibiliza serviço na internet precisa
de cuidados especiais na configuração que é feita com ferramentas próprias
do Linux e alguns pacotes adicionais.
Especialistas afirma que não existe um sistema 100 por cento seguro, então
nos resta dificultar ao máximo o trabalho dos vândalos.

ANTIVIRUS PARA LINUX
Tem vários antivirus que rodam em maquinas Linux mas não é para procurar
vírus no sistema Linux, embora foram feitos para Linux e roda em Linux estão
trabalhando para procurar e eliminar vírus de arquivos e e-mail do Windows
que passam ou são guardados em sistemas Linux.
Por exemplo, servidores Linux recebem e reenviam e-mail  ou arquivos de clientes
windows que pode estar contaminado mas  não afetará em nada o Linux, mas
pode ter neste servidor Linux  um anti-vírus para scanear e remover vírus nos
arquivos do Windows que trafegarem por ele e remover eventual
contaminação repassando o arquivo limpo e  prestando um serviço ao cliente
Windows.

Considere que um vírus para Windows não fará nada no sistema Linux, podendo
ser aberto normalmente sem causar dano algum.

Em sistemas  windows a execução de uma  arquivo  .bat  pode conter instruções
que acaba com o sistema, mas não é auto executavél, o usuário precisa executar
para que o arquivo produza os efeitos.
Em  sistemas Linux também a execução de um script maligno da mesma forma tem que
ser executado pelo usuário, mas todo estrago possível ficará restrito na area de
atuação deste usuário, ou seja se como root pode até destruir todo o sistema mas
se executado como user normal o máximo da destruição será seu própio home e
alguns diretórios que tenha permissão, não infectando o sistema, portanto
continua em perfeito funcionamento para os demais usuários da maquina.

Nenhum antivirus antivirus detecta o poder destes scripts (arquivos), por
exemplo seu amigo manda um arquivo veja.bat onde tem linhas de comandos do tipo:
deltree c:\windows\*.exe /y
você precisa executar este arquivo para apagar todos os executáveis do diretório
windows o obrigará a  reinstalar o windows.
Em Linux  executar como usuário normal um script maligno destes com instruções
para remover programas vitais do  Linux  não causará danos ao sistema, o maior
estrago possível ficará restrito ao home do usuário e diretórios  que tenha
permissão para isso, no Linux um acidente deste basta efetuar login como outro
usuário que o sistema continua intacto.

Conclusão:
Não se usa anti-vírus  para Linux,  os poucos vírus não atínge sistemas de quem
usa o Linux corretamente na verdade os Anti-vírus que rodam no Linux procuram
por vírus de Windows nos arquivos do windows que estejam transitando pela
maquina Linux como num proxy, servidor de correio eletrônico ou servidor de
arquivos.

Não se usa Anti-vírus em Linux da mesma forma que se usa em Windows (varrendo
arquivos antes da execucao, localmente) porque o beneficio não compensa o custo.

Faça uso dos poderes de root somente para o necessário, aprenda a dar permissões
e controlar  os poderes de usuários, a segurança está nisto.

E a dica mais importante, maquinas de cara para a internet tem que manter
instalando e rodando o estritamente necessário e sempre atualizado, não 
instale programas desconhecidos, ou de sites desconhecidos, procure sempre 
pelos pacotes no site do mantenedor ou mirrors oficiais indicados pelo 
mantenedor, acompanhe os logs do sistema e seja rigoroso nas regras de
segurança, firewall, permissões e configurações.

Tem até tutorial que ensina fazer vírus para Linux, faz um bom tempo que está
disponível na internet, este descreve como fazer vírus para executáveis ELF em
Linux
http://www.lwfug.org/~abartoli/virus-writing-HOWTO/_html/

10 mil libras, pra quem infectar o Linux com vírus, oferecido pelo diretor
da open-source consultancy NetProject, Eddie Bleasdale.

Leia mais em:
http://www.linuxsecurity.com/articles/host_security_article-3836.html




Antonio Francisco Zago
zagolinux@uol.com.br

****************************************************************
Analise a noticia abaixo, em 10 minutos o vírus SQL Slammer percorreu o mundo,
com a capacidade de dobrar o numero de computadores infectados a cada 8,5 segundos,
tempo insuficiente para empresas de anti-vírus detectar a praga, disponibilizar uma
atualização e o usuário fazer atualização do anti-vírus.

Você não atualiza  o antivirus de minuto em minuto!!!,

A contaminação é inevitável.

Ou  use Linux de maneira segura.

fonte:
http://www1.folha.uol.com.br/folha/informatica/ult124u12205.shtml


28/08/2006 - 10h07
89% dos PCs estão infectados por spyware, diz pesquisa
http://tecnologia.uol.com.br/ultnot/2006/08/28/ult2870u97.jhtm

 80% dos vírus escapam da detecção de antivírus populares
http://linhadefensiva.uol.com.br/blog/2006/08/antivirus-popular-nao-funciona/

04/08/2004  - 10h33
Cerca de 50 novos vírus surgem a cada dia, diz McAfee
da Folha de S.Paulo
http://www1.folha.uol.com.br/folha/informatica/ult124u16627.shtml

Seria possível manter Windows com um ativirus e uma maquina atualizada?
Considere que a empresa de antivirus precisa receber o vírus pra
atualizar o antivirus e pra depois você atualizar tua maquina,
quanto tempo demora este processo?

Não tenho estas respostas, mas acredito que o processo é este e
portanto você sempre estará sem proteção entre o momento de
lançamento do vírus e atualização do antivirus.


http://www1.folha.uol.com.br/folha/informatica/ult124u16748.shtml
18/08/2004  - 13h35
Spammers e hackers se unem para criar vírus mais perigosos
da Folha Online


Zago

*******************************************************************

Rootkits

Rootkits podem esconder chaves no registro, processos e pastas. No Windows,
rootkits funcionam por meio da interceptação de API quando um programa
pede para o Windows listar uma pasta, por exemplo, o rootkit intercepta a
chamada e filtra os resultados da listagem da pasta, removendo qualquer
referência aos arquivos do rootkit.
Veja o artigo completo "Rootkits: A prevenção é a solução" em;
http://linhadefensiva.uol.com.br/2005/12/rootkit-prevencao-solucao/

*******************************************************************

-> [ Crackers invadem Kaspersky e enviam vírus aos seus usuários ]

  Um grupo de crackers invadiu, na noite desta quinta-feira, o servidor Web da
empresa antivírus russa Kaspersky e enviou uma cópia do vírus Bridex aos
assinantes de sua newsletter. O Bridex possui algumas semelhanças com o Nimda e
foi descoberto no início da semana, na Ásia. A empresa divulgou um comunicado
admitindo o incidente. Leia a noticia completa atraves do portal nacional
Infoguerra...

Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=6773

*******************************************************************
-> [ Piores vírus da história só atacaram produtos Microsoft ]

  A consultoria de segurança britânica mi2g divulgou o resultado de um estudo
  informando que os 10 maiores códigos maléficos (malware) de todos os tempos,
  representados por vírus e worms, atingiram apenas os programas da Microsoft,
  especialmente o sistema operacional Windows, os servidores e os aplicativos
  fabricados pela companhia. O custo total das perdas provocadas por estes
  códigos chegou a US$ 72 bilhões, de acordo com a pesquisa. Leia a notícia
  completa através do Infoguerra no link abaixo...

Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=7833
___

*******************************************************************


*******************************************************************


Um antivírus para Linux pode ser encontrado aqui :

ftp.ca.com/pub/getbbs/linux.eng/inoctar.LINUX.Z

é só destarrear e executar.

inocucmd -> sem parâmetros mostra as opções

ou

inocucmd -SEC -CUR /* -> procura e cura vírus na raiz do linux em todos
os arquivos


Quanto aos vírus que ele remove dê uma olhada no HELP.

O mesmo antivírus pode ser utilizado com o AMAVIS, por exemplo, para ler
todo email que chega ou sai. Ou ainda pode ser colocado no crontab para
fazer uma procura periódica nos seus diretórios do samba, os quais o
windows utiliza.

Até

Zé Luís



Sergio Fernandes wrote:
> 
>     No dia 3 de janeiro de 2002 fomos atacados aqui na empresa por um virus

...
...
 minha pergunda é a seguinte existe um forma de proteger o linux
> contra esse nimda, existe alguma forma de bloquea-los, existe algum programa
> que remova ele caso infectado.
*******************************************************************

****************************************************************
Assunto: Re: (linux-br) virus ou nao?
> afinal, linux tem virus ou nao???

Domingo, 14 de Outubro de 2001 - 05h47

10 mil libras para quem infectar o Linux com virus
Há mais de dois anos, um prêmio de 10 mil libras é oferecido para quem
conseguir infectar um sistema Linux.
Por: minami@conectiva.com.br

O diretor da NetProject, Eddie Bleadsale, reiterou sua promessa em pagar 10
mil libras à primeira pessoa que infectar um computador rodando o sistema
Linux. Bleadsale sustenta que é impossível infectar um sistema Linux
corretamente configurado, assim como é impossível fazer um sistema Windows
seguro.

Leia mais em
http://www.silicon.com/public/door?6004REQEVENT=&REQINT1=48211&REQSTR1=silicon.com

OUTRA RESPOSTA

Os poucos "vírus acadêmicos" (i.e: só para fins de pesquisa) que
existem não são exatamente vírus, pelo que eu sei.

Um deles que, inclusive, foi bem comentado aqui na lista há dois anos
atrás, precisava ser carregado como um módulo do kernel para funcionar.
Isso é vírus? Nem lascando, é apenas um cavalo-de-tróia mais enjoado :P

Mas aproveitando a mensagem, já que está preocupado com vírus aí vai
uma dica para o autor original da mensagem, o "root":

Pelo jeito você está usando o sistema para tarefas triviais como
superusuário. Crie um usuário para você e use o root apenas para alguma
instalação e manutenção do sistema. Pode não haver vírus, mas há
cavalos-de-tróia - que causam grandes estragos como root.

Além do mais, cavalo-de-tróia não é uma preocupação tão grande quanto
os nossos próprios deslizes. hehe :) Axioma: enquanto root, a maior
ameaça ao seu sistema é você mesmo... hehe E isso não tem nada a ver com
"novato", "veterano" ou "guru": a m* de todo mundo fede igual, ninguém
está livre dos próprios enganos... ;)


OUTRA RESPOSTA
root: (root?)

 Bem, depende oq vc considera virus. Se vc seguir a mm definicao que eu:

 "Um virus eh um programa que inadvertidamente se copia sem o conhecimento
ou a autorizacao expressa do usuario, utilizando qq que seja o meio para
se multiplicar e infectar outros programas e/ou computadores. Podendo ter
consequencias nocivas ou nao."

 Hehe, eu cunhei essa definicao ha alguns anos atras (DeathKnights, nao me
lembro o numero, acho que #3).

 Note que na definicao acima Worms se incluem na definicao de virus.

 Bem, seguindo oq foi dito, sim eh possivel existir um virus para linux e
para qq outro sistema operacional. Nao existe sistema operacional 100%
livre de virus.

 Porem os virus sempre se proliferam em maior quantidade em ambientes mais
propricios e mais disseminados (no caso hj windows e office). Note isso no
caso do Word, existem poucos virus para excel pq poucos usam excel, e o
virus nao se prolifera tao ferozmente.

 No linux porem eh mais dificil que hajam virus, dada a organizacao de
direitos cuja a utilizacao se dah em 100% do tempo. Atraves da protecao de
escrita em executaveis o sistema praticamente evita todo tipo de virus,
isolando a infeccao a cada usuario, ao inves de permitir infeccao
generalizada.

 Portanto, se vc costuma a usar o usuario root estah jogando pelo lixo
essa protecao.

****************************************************************




*******************************************************************

*******************************************************************

*******************************************************************
Alternativa ao AMAVIS
---------------------------------------------------------------------
Colaboração: Mauro Augusto Borchardt <borchardt@ppgia.pucpr.br>

Estou incluindo uma colaboração do Mauro Augusto, sobre sua
experiência, muito interessante, de prevenção a vírus através
da criação de algumas regras com o programa procmail.
A seguir incluo a mensagem na íntegra:
---------------------------------------------------------------------
No inicio deste ano tivemos alguns problemas com alguns de nossos
usuarios (PPGIA/PUCPR http://www.ppgia.pucpr.br) sendo infectados por virus
como o pretty_park e outros do mesmo genero. Como estes sempre eram
executaveis, decidimos recusar todos os emails que continham anexos do tipo
exe, .com, .bat, nao importanto se era virus ou nao.

Para isso, fizemos uma regra simples no /etc/procmailrc que toda a vez
que tivesse um email com anexo executavel (exe|com|bat) o procmail chamasse
um script em perl que logasse, descartasse o email e avisasse ao remetente e
destinatario que o email nao foi entregue por conter um anexo executavel e
que se realmente fosse pra entregar que ele zipasse o arquivo antes e
re-inviasse.

Desde a implantacao em abril/00, fomos ampliando as extensoes (38 hoje),
aprimorando o script perl e o resultado foi que nao tivemos mais nenhum
usuario contaminado, com uma solucao simples, leve e eficiente. Acreditamos
que seja muito portavel tambem, ja que nao é necessario modificar nada nos
pacotes das distribuicoes e por usar perl padrao.

No link, http://www.ppgia.pucpr.br/~borchardt/tools/ tem todos os
detalhes de como baixar, instalar, testar, onde foi testado e é usado.

Decidimos tornar esta solucao disponivel externamente porque depois de
tanto tempo de uso nao ter apresentado nenhum problema, ter mostrado que
realmente funciona e usuarios externos estarem mandando email pro suporte
soh pra testar se estao contaminados, achamos que ja era hora de dividirmos
isso com a comunidade.

PS: Nos podiamos ter colocado o amavis, mas a instalacao nao é das mais
simples ja que altera o sendmail.cf e tinhamos medo que o scanner
sobrecarregasse o servidor (temos um trafego medio de 6000 emails/dia).

---------------------------------------------------------------
As mensagens da lista Dicas-L são veiculadas diariamente
para 12360 assinantes.

Para sair ou assinar a lista Dicas-L, consulte o documento que
se encontra em http://www.Dicas-l.com.br/FAQ.html.

A redistribuição desta e outras mensagens da lista Dicas-L pode
ser feita livremente, deste que o conteúdo, inclusive esta nota, 
não sejam modificados.
---------------------------------------------------------------
*******************************************************************
 "anti-virus" para Linux que sao "Free":

[TkAntivir] 
http://www.geiges.de/sebastian

[Kvirus ] 
http://members.tripod.com/sungsoo

[AntiVir]
http://www.hbedv.com

[AntiViral Toolkit Pro]
http://www.avp.com
*******************************************************************
página em português do represenante brasileiro está em
http://www.pandasoftware.com.br/linux.asp


> o antivírus Panda (feito por uma empresa espanhola) está
> sendo oferecido gratuitamente para o linux. Funciona por linha de comando
e
> está disponível em rpm.
>
> Vejam http://www.pandasoftware.es/es/linux/linux.asp
*******************************************************************
Para aqueles que procuram proteger suas redes contra virus utilizando 
sendmail saiu estes dias na linux.com um otimo artigo sobre o inflex um bom 
e facil scanner de virus muito simples de instalar e configurar tudo feito 
via opcoes no terminal... e sem destruir suas configuracoes do sendmail...
---
http://www.linux.com/enhance/newsitem.phtml?sid=125&aid=12419
*******************************************************************
Subject: Re: (linux-br) Antivirus Linux


Veja também OpenAntivirus com suporte ao AmaVis (openantivurs.org)
Eu o uso e é "fu di d*"

*******************************************************************
Depois de receber vários scripts, que não funcionaram, para atualizar 
os DATs do VirusScan para Linux, eu adaptei um deles e conseguir fazer 
com que ele funcionasse. Daí é só agendar no cron e deixar que ele faça 
o serviço :-) . Abaixo segue o seu código fonte.

Espero estar ajudando.

Abraços,

Roberth.

*** INICIO ***

#!/usr/bin/perl
##############################################################
#                                                            #
# Atualiza os arquivos .DAT do antivirus VirusScan da Mcafee #
#                                                            #
##############################################################
# Desenvolvido por: Autor Desconhecido                       #
# Adaptado por....: Roberth Oliveira Corgosinho              #
# Data............: 14/03/2002                               #
##############################################################
# Ultima Modificacao: 14/03/2002                             #
# Modificado por....: Roberth Oliveira Corgosinho            #
# Motivo: Adaptacao do script para necessidades da empresa   #
#         em que eu trabalho                                 #
##############################################################

# Declaracao das variaveis

# Diretorio de instalacao do UVSCAN - VirusScan
$UVDIR = "/usr/local/uvscan";
# Endereco do servidor da NAI para localizacao do arquivo .TAR 
# disponivel para download
$HOST  = "http://download.nai.com/products/datfiles/4.x/nai";
# Diretorio temporario a ser criado para efetuar o download
$TMPDIR  = "/root/amavis/dat-uptdates";
# Diretorio onde ficarao guardados os backups dos arquivos .TAR
$BKPDIR  = "/root/amavis";
# Pega a versao atual instalada dos arquivos .DAT
$CVERSION = `$UVDIR/uvscan --version | grep "Virus data file" | cut -
d" " -f4 | cut -c2-`;
$CVERSION =~ s/\s//g;
$OVERSION = $CVERSION;       # Versao Anterior (Apos Atualizacao)
$NVERSION = $CVERSION + 1;   # Proxima versao dos arquivos .DAT
$NDNAME   = "dat-$NVERSION"; # Nome do proximo arquivo .TAR
$ODNAME   = "dat-$OVERSION"; # Nome do arquivo .TAR da versao Atual

# Atualiza os arquivos .DAT

# Cria o diretorio temporario para o download
system "mkdir $TMPDIR";
# Efetua o download do arquivo .TAR do servidor FTP da NAI
print "\n\nFazendo o donwload do arquivo $NDNAME.tar\n\n";
system "wget $HOST/$NDNAME.tar";
system "mv $NDNAME.tar $TMPDIR";
# Verifica a existencia da nova versao
if (-e "$TMPDIR/$NDNAME.tar") {
  # Se existir atualiza a versao e guarda uma copia do arquivo .TAR
  print "\nAtualizando os arquivos para a versao $NVERSION\n\n";
  system "tar -xvf $TMPDIR/$NDNAME.tar -C $UVDIR";
  system "mv $TMPDIR/$NDNAME.tar $BKPDIR && rm -rf $TMPDIR";
  # Verifica se os arquivos foram atualizados corretamente
  $CVERSION = `$UVDIR/uvscan --version | grep "Virus data file" | cut -
d" " -f4 | cut -c2-`;
  $CVERSION =~ s/\s//g;
  if ($CVERSION != $NVERSION) {
    # Se nao, imprime mensagem de alerta
    print "\nOs arquivos nao foram atualizados com sucesso, por favor 
faca a atualizacao manualmente.\n\n";
    print "Versao Atual...: $CVERSION\n";
    print "Versao Anterior: $OVERSION\n\n";
  } else {
    # Se sim, informa a versao atual
    print "\nArquivos atualizados com sucesso!\n\n";
    print "Versao atual...: $CVERSION\n";
    print "Versao anterior: $OVERSION\n\n";
    print "Excluindo o arquivo $ODNAME.tar\n\n";
    system "rm -f $BKPDIR/$ODNAME.tar";
  }
} else {
  # Se nao existir apenas imprime a mensagem de alerta
  print "\nNao existe uma atualizacao disponivel para download.\n\n";
  system "rm -rf $TMPDIR";
}

*** FIM ***
*******************************************************************
	De: 	Jean MS <jeanms@ig.com.br>
Responder-a: 	ginux-l@comp.ufla.br
Para: 	ginux-l@comp.ufla.br
Assunto: 	[ginux-l] Worm p Linux
Data: 	20 Sep 2002 11:44:03 -0300	
Novo vírus para Linux usa método de 14 anos atrás

19/9/2002 - 18:48 Giordani Rodrigues

O worm Slapper, que já infectou com sucesso milhares de servidores Linux
pelo mundo, tem menos de uma semana de "idade", mas sua técnica de ataque já
tem 14 anos. A constatação é da empresa de segurança russa Kaspersky, que
afirma que o Slapper utiliza o mesmo método introduzido em 1988 pelo famoso
Morris, código maléfico a partir do qual a palavra "worm" tornou-se popular
na Internet.

O Slapper rastreia computadores conectados à Internet e escolhe como alvo
para ataque aqueles que possuem o sistema operacional Linux e o servidor Web
Apache instalados. Ao detectar tal máquina, o vírus envia cópias de si mesmo
e infecta o sistema explorando uma brecha (buffer overflow) na segurança do
protocolo OpenSSL, usado para transações seguras pela Internet. A partir de
um servidor infectado, outros são rastreados, dando continuidade ao
processo. Até aqui nada de diferente de outros worms de rede.

O principal diferencial do Slapper é que a cópia do worm é enviada como
código-fonte, isto é, um código binário que ainda não foi compilado como
programa executável. Após o envio ter sido completado, o worm utiliza o
compilador local para linguagem C (gcc) a fim de produzir uma cópia
executável e completar a infecção.

A técnica fornece ao Slapper compatibilidade com todos os tipos de Linux,
sem importar a distribuição e a versão do Kernel (núcleo do sistema). Este
método foi inventado em novembro de 1988 e aplicado pela primeira vez no
notório worm Morris.

"É totalmente possível que o Slapper vá iniciar uma nova onda de
desenvolvimento de códigos maliciosos multiplataforma, os quais serão
capazes não só de infectar Linux, mas Windows, Unix e outros sistemas
operacionais simultaneamente", opina Eugene Kaspersky, chefe de pesquisas
antivírus do laboratório russo. A empresa informa que já iniciou o
desenvolvimento de uma aplicação "add-on" para ser integrada à tecnologia
heurística de seus produtos antivírus e permitir a captura de outros worms
desconhecidos que utulizem o "estilo Slapper".

[ ]´s
Jiyan

--------------------------------------------------------------
GINUX-L:
Lista de Discussao Sobre Linux
*******************************************************************
	De: 	Lisias Toledo <lisias@unforgettable.com>
Para: 	Thiago Pimentel <thiagop@stampede.org>
Cc: 	Depto de Tecnologia - Höfig <tecnologia.hofig@uol.com.br>, Linux-br <linux-br@bazar.conectiva.com.br>
Assunto: 	Re: (linux-br) Virus no linux
Data: 	07 Oct 2002 23:53:03 -0400	
Thiago Pimentel wrote:
 
> Já estudou psicologia, Lísias? 

Tu é louco? Eu teria que internar à mim mesmo! 8-)


> Há um tempo atrás, era comum nego aqui nessa lista mesmo
> jurar de pé junto que não existia vírus em Linux, veja só
> isso é coisa do rWindow$, nunca vi disso em Linux, etc. Agora
> toda semana surge um.

Não exagere.

E não falamos de um vírus, mas sim de um worm. Enquanto houver falhas de
segurança, provavelmente haverão worms. O primeiro que eu tive notícia
foi no meio da década de '80, quando um estudante de não sei qual
universidade americana resolveu brincar com uma falha de um cliente de
email (que tinha sido distribuído compilado com o "debug mode", e que
tinha o péssimo hábito de executar certos comandos quando uma condição
ocorria).

O cara perdeu o controle do brinquedo, e derrubou mais da metade dos
terminais Unix da epoca... 8-) Pegou cana, o coitado.

 
> Identifique seu estágio, e ganhe um doce. :)

Aprenda o que é um vírus, um trojan e um worm e ganhe dois! 8-)

Todos os vírus que foram feitos para linux (inclusive aquele que era
"multiplataforma", infectava ELF e PE) sempre estiveram limitados ao
SETUID do bomber. Eles nunca tomarão conta do sistema, à menos que o
"sysadmin" tenha a brilhante idéia de rodar binários comprometidos como
root.

Até que alguém faça uma besteira muito grande (e discreta) no Kernel,
vírus no Linux são inviáveis. Não há o que discutir à respeito.


> O que não me mata me torna mais forte.

Pegue malária, e repita isto... ;-)

-- 
[]s,
(Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe)


*******************************************************************
	De: 	Thiago Madeira de Lima <junglelst@webforce.com.br>
Para: 	'Lisias Toledo' <lisias@unforgettable.com>, 'Thiago Pimentel' <thiagop@stampede.org>
Cc: 	'Depto de Tecnologia - Höfig' <tecnologia.hofig@uol.com.br>, 'Linux-br' <linux-br@bazar.conectiva.com.br>
Assunto: 	RE: (linux-br) Virus no linux
Data: 	11 Oct 2002 15:45:41 -0300	

        Meus 2 centavos.... :)

        E' tarefa da kernel bloquear acesso a funcoes, filesystems e
devices de acordo com as permissoes do usuario. Pra que um virus se
prolifere no sistema inteiro ele tem que ter acesso ao sistema todo,
como root.

        Se a kernel bloqueia direitinho o acesso de um usuario/grupo o
virus nao consegue se proliferar, nao consegue acessar a memoria ou os
arquivos  utilizados por outros programas, a nao ser que todos os
programas sejam rodados pelo mesmo usuario. Sem esse acesso o virus
ficaria limitado ao userspace do usuario que rodou o virus. Se nao foi o
root que rodou o sistema continuara limpo, somente os arquivos do
usuario em questao estao contaminados.  Se a kernel nao bloqueia tais
chamada e' pq ela esta com algum bug e isso tem que ser corrigido.

         Agora se o usuario consegue executar tarefas que prejudiquem o
sistema (ex: estourando processos, memoria ou utilizando toda a cpu) ,
e' tarefa da kernel impedir isso, colocando novos niveis de controle por
processo/usuario. O linux nao implementa todos os tipos de 'travas'
possiveis contra um systemcrash como por exemplo o solaris implementa.
(esse e' um dos motivos dele ser mais rapido que o solaris). 


Thiago Madeira de Lima.

-----Original Message-----
From: linux-br@bazar.conectiva.com.br
[mailto:linux-br@bazar.conectiva.com.br] On Behalf Of Lisias Toledo
Sent: Friday, October 11, 2002 1:07 AM
To: Thiago Pimentel
Cc: Depto de Tecnologia - Höfig; Linux-br
Subject: Re: (linux-br) Virus no linux


Thiago Pimentel wrote:
> 
> 8/10/2002 05:38:38, Lisias Toledo <lisias@unforgettable.com>
> wrote:

> > [...] É TAREFA DO KERNEL evitar que aplicações
> > userland de um
> > usuário interfira com as de outro ou no sistema.

> NÃO É FUNÇÃO DO KERNEL bloquear acesso a funções de uso esperado por 
> uma aplicação! O kernel não tem condições de descobrir se uma 
> aplicação é maliciosa ou não[...] logo É ESTUPIDEZ dizer que o kernel 
> Linux tem alguma coisa inerente a ele que impeça a proliferação de 
> vírus, pq ISSO NAO EXISTE.

A partir deste ponto, a dicussão entrará em loop. Eu repetirei os mesmos
argumentos e vc replicará igualmente.

Minha posição é que vírus se proliferam interferindo nas demais
aplicações e no sistema, através de chamadas ao sistema que estejam
liberadas ou explorando um filesystem (parcialmente ou totalmente)
aberto.

Acho que podemos resumir nosso pega-pra-capar em :

1) Vc afirma que tudo isto é uso esperado de aplicações userland. Vc
está irredutível.

2) Eu afirmo que é tarefa do kernel evitar que isto aconteça. Eu estou
irredutível.


Como nenhum de nós dois vai voltar atrás, sugiro passar o bastão e
deixar a discussão rolar com outras pessoas (talvez até em outras
listas).

-- 
*******************************************************************
	De: 	Hamacker <hamacker@vidy.com.br>
Cc: 	Linuxbr <linux-br@bazar.conectiva.com.br>
Assunto: 	Re: (linux-br) RES: (linux-br) VÍRUS ULTRA PERIGOSO
Data: 	13 Mar 2003 08:47:14 -0300	
Voce não entendeu ?
A mensagem dele é em sí mesma um virus, e o seu efeito virótico é fazer com que outras pessoas caiam na mesma armadilha e repassem o hoax pra frente. Aí a nossa banda de rede, cai, a nossa lista já fica + lerda, até por eu estar comentando a respeito dela já faz com a nossa banda da lista já caia um pouco.

inte+

Igor Feghali Barcelos wrote:
so me faltava essa agora... o cara vem me falar de um virus de windows numa
lista de linux....
*******************************************************************
	De: 	crg <crg3k@terra.com.br>
Para: 	Fernando A. Ribeiro Fortes <drfortes@superig.com.br>, linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Tue, 5 Aug 2003 08:47:58 -0300	
Em Terça 05 Agosto 2003 00:03, Fernando A. Ribeiro Fortes escreveu:
>       Recentemente um profissional da área em reunião com alguns colegas sobre o
> GNU-Linux, disse "Esqueçam dessa hitória de que Linux não tem vírus, isso
> já é coisa do passado, portanto ADEUS inunidade! ....", pra minha surpresa
> nunca tinha ouvido falar em vírus pra Linux, mais sim de anti-vírus em
> servidores Linux, com o intuito de criar proteção a outros sistemas
> diferentes. Peço aos colegas que me esclareçam essa dúvida um tanto quanto
> ignorante de minha parte, mais é que entrei numa briga ferrenha com o dito
> cujo e acabei saindo por idiota ! se a informação do referido profissional
> estiver coerente e exata :-( pra minha surpresa

Existe virus para Linux sim... e nao :-)
Explico, existem varios virus escritos para Linux mas todos os que eu vi ate 
hoje sao academicos e nao necessitam de um antivirus para barralos pois as 
proprias boas normas de administracao os impedem de se alastrar. Se voce sabe 
o que esta fazendo eh improvavel que seu sistema seja infectado.
Alem disso ao contrario de outros sistemas as acoes tomadas quando se encontra 
uma falha que possibilite a acao de um virus ou qq outra brecha de seguranca 
sao conceitualmente diferente: em alguns sistemas quando se encontra uma 
vulnerabilidade que possibilita a acao de um virus geralmente se usa um 
programa para ficar procurando pela assinatura do virus (os famosos 
antivirus) ja no Linux o que se procura fazer eh corrigir a falha isso impede 
que novos virus com assinatura diferente tirem proveito da mesma falha e 
evita de gastarmos processamento e memoria procurando pelas assinaturas dos 
virus.
A maior preocupacao para nos que usamos Linux nao sao os virus e sim sistemas 
mau configurados ou com brechas que podem ser exploradas para se obter acesso 
ao sistema.

Agora vamos fazer uma brincadeira, essa lista tem mais de 2000 assinantes, a 
maioria experiente se tratando de informatica. Levanta a mao quantos aqui ja 
tiveram problemas com virus para Windows? E quantos ja tiveram problemas com 
virus no Linux? e no FreeBSD? nem precisa responder, a filosofia do sistema 
ajuda muito na seguranca, claro que nao eh tudo mas ajuda.

Dica de leitura:
www.zago.eti.br/virus.txt
www.zago.eti.br/virus2.txt
No historico da lista tambem deve ter bastante coisa.

Uma ultima dica, nao entre em uma briga por esse tipo de besteira, mantenha a 
calma e difa para o tal profissional apontar alguns casos e dizer qual eh a 
probabilidade de uma maquina Linux ser infectada. O mesmo vale para outras 
discussoes, tem que provar o que esta falando, falar eh facil.

Abracos!

-- 
CRG
Linux user: #76132 / GPG Key ID: 65F2187D 
*******************************************************************
	De: 	2a. Vara Federal de Caxias do Sul <rscax02@jfrs.gov.br>
Para: 	Fernando A. Ribeiro Fortes <drfortes@superig.com.br>, linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Tue, 5 Aug 2003 10:24:04 -0300	
Em Ter 05 Ago 2003 00:03, parece que Fernando A. Ribeiro Fortes escreveu:

>       Recentemente um profissional da área em reunião com alguns colegas sobre o
> GNU-Linux, disse "Esqueçam dessa hitória de que Linux não tem vírus, isso
> já é coisa do passado, portanto ADEUS inunidade! ....", pra minha surpresa
> nunca tinha ouvido falar em vírus pra Linux, mais sim de anti-vírus em
> servidores Linux, com o intuito de criar proteção a outros sistemas
> diferentes. Peço aos colegas que me esclareçam essa dúvida um tanto quanto
> ignorante de minha parte, mais é que entrei numa briga ferrenha com o dito
> cujo e acabei saindo por idiota ! se a informação do referido profissional
> estiver coerente e exata :-( pra minha surpresa

Existe sim, da' uma olhada nos sites dos fabricantes de antivirus (hehehe!). 
Mas acho que nao "colou", e' mais ou menos como o virus lusitano (por favor, 
vossa senhoria poderia abrir uma sessao de terminal como root e digitar rm 
-rf *). Ja' recebi informacoes pelo newsletter da NAI comentando sobre isso, 
mas sempre havia a advertencia de que a disseminacao de tal virus seria bem 
mais restrita. Acho que pela caracteristica natural do linux de trabalhar com 
permissoes de arquivos e diretorios, mas principalmente porque um virus para 
linux nao teria tanto impacto quanto um feito para os sistemas operacionais 
mais comuns (p. ex., a dupla DOS/Windows).

Fazendo uma analogia com as pesquisas do IBOPE. Sei que existem, mas nunca fui 
pesquisado, nao conheco ninguem que tenha sido pesquisado, nem ninguem que 
conheca alguem que tenha sido pesquisado. Em resumo, nunca fui infectado no 
linux, seja por e-mail, rede, disquete, cartao de memoria ou seja la o que 
for. No windows era quase diario!!! Mesmo com anti-virus atualizado.

Uma pesquisa no site da Mcafee retornou 56 resultados, veja abaixo:

We found 56 record(s) matching the following criteria:
Virus name containing "linux".
Backdoor.Linux.Gulzan (Kaspersky)
DoS.Linux.Blitz (AVP)
Linux.Jac.8759
Linux.Lion.Worm (NAV)
Linux.Pavid (NAV)
Linux.Peelf.2132 (NAV)
Linux.Ramen
Linux.Ramen.Worm (NAV)
Linux.Scapler.Worm (NAV)
Linux/Adore.worm
Linux/Alfa
Linux/Amdcrash
Linux/Bliss
Linux/Brunfly
Linux/Cheese.worm
Linux/DDoS-Kaiten
Linux/Devnull
Linux/Ehcapa.worm
Linux/Etap
Linux/Exploit-CrisCras
Linux/Exploit-Da2
Linux/Exploit-Honeymoon
Linux/Exploit-Lsub
Linux/Exploit-SendMail
Linux/Exploit-Statdx
Linux/Exploit-Su
Linux/Exploit-Woot
Linux/Fork
Linux/Gulzan
Linux/Kaiten
Linux/Kis
Linux/Kokain
Linux/Lindose
Linux/Lion.worm
Linux/Mighty
Linux/Osf
Linux/Ramen.worm
Linux/Red
Linux/Rootkit
Linux/RootKit-BTM
Linux/Rpcmountd
Linux/Rst.a
Linux/Rst.b
Linux/Seclpd
Linux/Shinject
Linux/Slapper.worm.a
Linux/Slapper.worm.b
Linux/Slapper.worm.c
Linux/Slapper.worm.d
Linux/Slice
Linux/Snoopy.b
Linux/Stumbler
Linux/Typot
Trojan.Linux.JBellz (Symantec)
Trojan.Linux.Typot (NAV)
Worm.Linux.Ramen

Observe que estao listados nao apenas "virus", mas worms, exploits, trojans e 
outros monstrinhos, que nao sao necessariamente "virus".

E por isso que acredito em lobisomem. Se existe o nome, existe o bicho...

Regis
-- 
2a. Vara Federal de Caxias do Sul
rscax02@jfrs.gov.br
(54) 218-3226
*******************************************************************
	De: 	Syndson <syndson@abeunet.com.br>
Responder-a: 	Syndson <syndson@linuxbr.com.br>
Para: 	Fernando A. Ribeiro Fortes <drfortes@superig.com.br>, linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus no Linux
Data: 	Tue, 5 Aug 2003 17:31:53 -0200	
Bom... tentando responder a pergunta:

a) existe vírus para Linux?
R.: Sim, existe.   No entanto, são MUITO raros, e com eficácia extremamente
limitada.

b) Os vírus de Linux detonam a máquina como no Windows?
R.: Depende.  Somente se você rodar seu Linux como Root, é que o vírus
conseguirá permissão pra detonar tudo.  Por padrão, o usuário Linux não tem
permissão pra detonar o sistema.   O Windows, por padrão, te dá permissão
pra detonar tudo. Porisso o Linux é mais seguro.


c) Então o Linux é invulnerável, como o Super-Homem?
R.: Bom... nem o Super-Homem é invulnerável.  O Linux também enfraquece
quando exposta à "kriptonita".    Um cracker habilidoso consegue, por várias
maneiras, abrir um console root para ele.  Se isso ocorre, adeus máquina,
claro...

d) E como me defendo destes crackers?
R.: Bom... é como no Windows:  Mantenha seu Linux atualizado.

e) Mas eu tenho um Windows NT, que dizem que mais seguro do que o Linux. 
Isto é verdade, não?
R.: Não é verdade. O WinNT, por padrão, não permite acessos remotos à
máquina.  Porisso ela fica menos vulnerável.  Mas basta você ligar o IIS,
que sua máquina vira queijo suíço.  E sendo assim, o Linux ganha.

Espero ter ajudado.  Um abraço,

Syndson Silva.


---------
Recentemente um profissional da área em reunião com alguns colegas sobre o
GNU-Linux, disse "Esqueçam dessa hitória de que Linux não tem vírus, isso já
é coisa do passado, portanto ADEUS inunidade! ...."
*******************************************************************
	De: 	Marcelo Vivan Borro <marcelo@edraaeronautica.com.br>
Para: 	crg <crg3k@terra.com.br>
Cc: 	linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Wed, 06 Aug 2003 08:54:29 -0300	

> 
> Uma ultima dica, nao entre em uma briga por esse tipo de besteira, mantenha a 
> calma e difa para o tal profissional apontar alguns casos e dizer qual eh a 
> probabilidade de uma maquina Linux ser infectada. O mesmo vale para outras 
> discussoes, tem que provar o que esta falando, falar eh facil.
> 

Dependendo do ponto de vista podemos dizer que os rootkits seriam vírus 
também.  Partindo deste princípio podemos dizer que existem vírus no 
linux (além dos citados vírus "acadêmicos") e estes seriam mais perigosos.
E o anti vírus para tal caso seria o chkrootkit (www.chkrootkit.org/), 
que já deve fazer parte de uma administração segura do sistema...   :)

Marcelo Vivan Borro
*******************************************************************
	De: 	Thiago Pimentel <thiagop@infonet.com.br>
Para: 	Fernando A. Ribeiro Fortes <drfortes@superig.com.br>, linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Wed, 06 Aug 2003 04:04:18 -0300	
Fernando A. Ribeiro Fortes wrote:
é coisa do passado, portanto ADEUS inunidade! ....", pra minha surpresa nunca 
> tinha ouvido falar em vírus pra Linux
> 
Existe. E é fácil fazer. Veio na cabeça agora:

Primeiro é preciso definir o que é vírus. Convencionou-se chamar de 
virus a qualquer programa malicioso que infecte executáveis. Eu
particularmente coloco trojans, virus e worms na mesma categoria, acho
preciosismo diferenciá-los. Sabemos que existem worms e trojans para 
Linux (Ramen, rootkits diversos, etc.). Faltou o virus que infecta 
executavel.

A maioria dos virus que infectam executaveis DOS/Windows escrevem a si 
mesmos no início do arquivo executável (.exe, .com...). Em Linux é 
relativamente fácil escrever um LKM que monitore entradas no /proc no 
padrão /proc/<PID>/exe. Esta entrada contém o binário sendo executado no 
momento pelo processo identificado por PID. Bastaria que este LKM 
estivesse programado para escrever estas linhas no começo de cada 
executável identificado:

##############corte########################
#!/bin/sh

uudecode > /tmp/.infect <<"EOF"
begin 644 -
M(R$O8FEN+W-H"@IE8VAO(")/;&$L(&5U('-O=2!U;2!V:7)U<RX@4V4@=F,@
M;64@<F]D87-S92!C;VUO(')O;W0L(&5U(&-A<G)E9V%R:6$@=6T@3$M-(&4@
1;64@97-P86QH87)I82XB.PH`
`
end
EOF
chmod +x /tmp/.infect && /tmp/.infect && rm -f /tmp/.infect
tail +17 $0 >> /tmp/.prog_real
chmod +x /tmp/.prog_real
/tmp/.prog_real $@
rm -f /tmp/.prog_real
exit 0
###############corte######################


Debaixo da última linha vai o arquivo executável em questão. Como não 
fiz o LKM, eu fiz o teste com o "/bin/ls" escrito embaixo destas linhas 
com um simples "cat":

thiago@nahar:/tmp$ ./ls-infectado /home/thiago/tmp -la
Ola, eu sou um virus. Se vc me rodasse como root, eu carregaria um LKM e 
me espalharia.
total 44
drwxr-xr-x    2 thiago   thiago       4096 Aug  6 03:46 .
drwxr-xr-x  128 thiago   thiago       8192 Aug  6 03:16 ..
-rw-r--r--    1 thiago   thiago          0 Aug  6 03:46 rip
-rw-------    1 thiago   thiago      27008 Aug  6 03:45 terminais.txt
-rw-------    1 thiago   thiago       2424 Aug  6 03:45 textdump.pl


Isso pode ser bastante melhorado adicionando um número randomico ao nome 
do arquivo .prog_real para evitar "colisoes" quando se rodam varios 
programas ao mesmo tempo. A linha uuencodada conteria o LKM. O exemplo é 
bem tosco, poderia ser feito em C, assim o "file" continuaria achando 
que o arquivo modificado é um executável e não um shell script, só 
podendo ser identificado pela diferença de tamanho do arquivo. Mas no 
geral isso também seria util pois eu não vejo ninguém no Windows abrindo 
seus executáveis para saber se são binários mesmo ou não.

É basicamente o mesmo principio dos virus para Windows. Se vc copiar um 
destes executáveis para outra máquina com CONFIG_MODVERSIONS habilitado 
ele rodará e infectará os executáveis desta máquina tambem. Logicamente, 
o vírus só poderá carregar o LKM se for executado como root. Mas isso 
não é muito diferente do Windows, onde para infectar arquivos de sistema 
o usuário teria que rodá-lo como Administrador.

Viu? Não existe bala de prata.
minha parte, mais é que entrei numa briga ferrenha com o dito cujo e acabei 
> 
Fez mal.

É possível escrever vírus para qualquer plataforma que permita a 
execução de código arbitrário. A pouca disseminação de pragas para 
Linux, assim como Mac e outros deve-se simplesmente ao fato deles serem 
menos visados.

thiago

-- 
Falar mal das pessoas é muito mais gratificante do que falar bem. Eu, se 
pudesse, só falaria mal. (Diogo Mainardi)





	De: 	crg <crg3k@terra.com.br>
Para: 	thiagop@infonet.com.br, linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Wed, 6 Aug 2003 12:42:44 -0300	
Em Quarta 06 Agosto 2003 04:04, Thiago Pimentel escreveu:
> Viu? Não existe bala de prata.

Ralmente nao, como eu falei o sistema ajuda mas nao eh tudo, boa administracao 
faz uma boa parte do trabalho. Quando o Linux passar a ser administrado por 
alguem que so sabe clicar ai esse cara tera problemas.

Apropossito legal seu virosinho, eu criei um scan para ele. :)

grep -r "M(R$O8FEN+W-H" *
(ta bom eu poderia ter feito algo melhor mas ai voce ia se sentir motivado a 
melhorar seu virus eheh)

> É possível escrever vírus para qualquer plataforma que permita a
> execução de código arbitrário. A pouca disseminação de pragas para
> Linux, assim como Mac e outros deve-se simplesmente ao fato deles serem
> menos visados.

Acho que esse fator nao ajuda mais tanto assim, dada a tamanha quantidade de 
servidores rodando Linux e outros softwares livres, eu acredito que o fator 
que mantem o Linux e muitos outros softwares livres de virus eh a filosofia 
de arrumar as falhas rapidamente. Eh como o caso daquele virus que infectava 
o Apache, tem mais apache servindo WWW que qq outro servidor mesmo assim so 
tivemos 1600 infexoes repotadas (li isso em algum lugar dos textos do Zago 
nao lembro de onde) isso é muito pouco dado ao numero de servidores.

abracos!

-- 
CRG
*******************************************************************
	De: 	crg <crg3k@terra.com.br>
Para: 	Marcelo Vivan Borro <marcelo@edraaeronautica.com.br>
Cc: 	linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Wed, 6 Aug 2003 12:15:59 -0300	
Em Quarta 06 Agosto 2003 08:54, Marcelo Vivan Borro escreveu:
> Dependendo do ponto de vista podemos dizer que os rootkits seriam vírus

Discordo, um rootkit nao tem nada de virus, ele nao se autocopia, nao se 
propaga sozinho nem nada que um virus faca alem de tentar se manter oculto.

> também.  Partindo deste princípio podemos dizer que existem vírus no
> linux (além dos citados vírus "acadêmicos") e estes seriam mais perigosos.
> E o anti vírus para tal caso seria o chkrootkit (www.chkrootkit.org/),
> que já deve fazer parte de uma administração segura do sistema...   :)

Um rootkit necessita que alguem invada o sistema, consiga acesso de root e 
insale o rootkit, nao é um virus. Um rootkit eh apenas uma forma de um 
intruso garantir que possa entrar novamente no sistema instalando backdoors.
E mesmo assim sem acesso de root os rootkits tem as mesmas restricoes que os 
virus teriam.

-- 
CRG
*******************************************************************
	De: 	crg <crg3k@terra.com.br>
Para: 	Thiago Pimentel <thiagop@infonet.com.br>
Cc: 	linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Thu, 7 Aug 2003 09:14:08 -0300	
Em Quarta 06 Agosto 2003 22:41, Thiago Pimentel escreveu:
> Viu? Reconhecimento de padrões. Até a forma de detecção é a mesma. Não
> existe diferença. O problema dos vírus de computador é humano, não
> técnico...

Concordo, eh por isso que eu falei que a filosofia eh importante.

> E é todo mundo que atualiza seus softwares regularmente? Leia esta
> lista, de vez em quando aparece gente instalando servidores novos em
> Conectiva 5, 6, RH 6.2, etc.

Ja vi isso sim, e sempre me pareceu muito estranho... pq instalar uma versao 
tao antiga em uma maquina nova se o custo para ter a nova versao nao eh quase 
nada e todo o hardware antigo continua trabalhando muito bem nas novas 
versoes?

> linker, entre outros) muda de acordo com as fases da lua, é dificil
> garantir que um mesmo binário rode entre distribuições diferentes ou
> mesmo entre versões diferentes da mesma distribuição.

Como eu falei a filosofia ajuda :) copatibulidade nos fontes nao nos binarios.

> Não é coincidencia nem nenhuma força da natureza que faz com que o modo
> preferido de distribuicao de software na plataforma MS seja binários, e
> na plataforma Linux seja código fonte. A homogeneidade do Windows
> enquanto modelo programável torna fácil garantir que um dado binário
> rodará em todas as versões de Windows possíveis. Esta mesma facilidade
> faz com que a proliferação de virus nesta plataforma seja mais rápida.

Acho que saquei... veja essa analogia:
A diversidade do Linux eh como a diversidade biologica, se todos nos fossemos 
exatamente iguais e fossemos expostos a um virus que atinge um de nos todos 
os outros expostos tambem seriam atingidos, mas como existem minusculas 
variacoes em nosso codigo genetico alguns individuos sao imunes. O mesmo 
ocorre com o Linux mas ele varia muito mais que nosso DNA e portanto eh mais 
inume pela simples diversidade.
Sera que esse eh o fator que protege o Linux? 

abracos!

-- 
CRG
*******************************************************************
	De: 	crg <crg3k@terra.com.br>
Para: 	araujo.r@socs.com.br
Cc: 	linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Thu, 7 Aug 2003 09:53:57 -0300	
Em Quarta 06 Agosto 2003 10:10, rogerio araujo escreveu:
> Por isso utilizo regras fortes na segurança em minhas estações.
> 1 - senha root com no minimo 15 caracteres
> 2 - todos os equipamentos tem um usuario padrao : USER , senha padrão
> 123456 , para acessos de pesquisadoes que precisem rapidamente utilizar
> uma maquina para acesso a internet,  processr textos,  planilhas, etc
> 3 - cada usuário normal tem seu próprio login
> 4 - uso e abuso dos logs
> 5 - nunca utilizo a conta root em minha maquina de uso sempre minha
> conta pessoal
> 6 - firewall forte impedindo até mesmo acesso aos servidores pop e smtp
> externamente, quem precisa usa o webmail.
> 7 - eventualmente rodo o chkrootkit
> 8 - de vez em quanto checo os diretórios aonde estão os binários ( bin
> usr/bin sbin usr/sbin ) e dou um ls -latr , com isso vejo se algum
> programa foi atualizado recentemente.

Como eu falei no outro e-mail boa administracao ajuda muito.
Acrecentando a sua lista algumas coisas que eu faco:

- Uso MD5 para colher as assinaturas de todos os arquivos importantes e salvo 
em um sistema offline, de tempos em tempos rodo um script para veridicar se 
algo foi alterado. sempre que eu altero alguma coisa eu atualizo a assinatura 
do desse arquivo no sistema offline..

- Arquivos que nao devem ser alterados sao marcados com atributo +i 
(immutable), isso tambem inclui alguns diretorios que comtem arquivos 
criticos (o atributo eh aplicado nos arquivos e no proprio diretorio)

- Arquivos que contem infos criticas como senhas e outras coisas secretas sao 
criptografados com o gpg (com uma frase chave enorme, mas de 40 digutos e que 
so eu sei, nao esta anotada em lugar nenhum e nao eh referencia a nada). Alem 
disso esses arquivos sao marcados com o atributo +s (secure deletion)

- Nao estou mais tao paranoico como era antes (o linux provou ser 
suficientemente seguro) mas antes eu passava scripts nos fontes procurando 
por possiveis codigos maliciosos ou falhas como gets() vulneraveis a buffer 
overflow, etc.

- Outra que nao ando fazendo a algum tempo eh firewall iptables em modo 
paranoico:
/usr/sbin/iptables -P OUTPUT DROP
 
Algem tem mais alguma coisa para colocar na lista dos administradores 
paranoicos?

> E mesmo assim ainda acho que tem muito furo.

Sempre tem :-) o seguredo eh descobrir antes que alguem descubra.

Abracos!

-- 
CRG
*******************************************************************
	De: 	Thiago Macieira <thiagom@mail.com>
Para: 	crg <crg3k@terra.com.br>
Cc: 	linux-br@bazar.conectiva.com.br
Assunto: 	Re: (linux-br)Ref.: Vírus noLinux
Data: 	Thu, 7 Aug 2003 15:47:02 +0200	
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

crg wrote:
>- Uso MD5 para colher as assinaturas de todos os arquivos importantes e
> salvo em um sistema offline, de tempos em tempos rodo um script para
> veridicar se algo foi alterado. sempre que eu altero alguma coisa eu
> atualizo a assinatura do desse arquivo no sistema offline..

Outra dica que eu achei interessante:

coloque seu /etc num sistema de versionamento, como CVS ou Subversion. Quando 
você fizer modificações, basta gravá-las no servidor. Ele também poderá dizer 
se existem arquivos novos ou se qualquer coisa foi modificada. E o mais 
interessante disso é que se você fizer besteira, você pode simplesmente 
voltar à uma versão anterior da configuração.

Configurando direito o Subversion, você pode também ter várias árvores do /etc 
gravadas, para configurações de sistemas diferentes. Imagine, por exemplo, um 
servidor de e-mail e outro de web: a maior parte da configuração dos dois é 
idêntica, que você pode guardar no repositório e compartilhar entre os dois. 
Fez uma melhoria em um? svn up no outro.
- -- 
  Thiago Macieira  -  Registered Linux user #65028
   thiagom@mail.com           
    ICQ UIN: 1967141 
*******************************************************************

	De: 	2a. Vara Federal de Caxias do Sul <rscax02@jfrs.gov.br>
Para: 	linux-br@bazar2.conectiva.com.br
Assunto: 	(linux-br)Trojan no linux (de novo, mas agora e' novo)
Data: 	Wed, 20 Aug 2003 11:22:20 -0300	
Pessoal,

Ha poucos dias discutimos sobre virus e outros bichos (lobisomens inclusos) na 
lista.
Hoje vi um aviso no site da Nai (http://vil.nai.com/vil/content/v_100558.htm) 
sobre um trojan. 
Interessante, mesmo que seja apenas para estudo.

Regis
-- 
2a. Vara Federal de Caxias do Sul
rscax02@jfrs.gov.br
(54) 218-3226
*******************************************************************
	De: 	Cesar Grossmann <cesarakg@gmail.com>
Responder A: 	Cesar Grossmann <cesarakg@gmail.com>
Para: 	Monique <magnicky@mar.com.br>, Linux-BR <linux-br@bazar2.conectiva.com.br>
Assunto: 	Re: (linux-br) Vírus no Linux?
Data: 	Fri, 13 May 2005 19:16:11 -0300	
Em 13/05/05, Monique<magnicky@mar.com.br> escreveu:
> Alguém sabe de algum site legal e confiável que confirme se existem vírus no
> Linux ou não?
> Estou com essa dúvida. Pois li vários artigos que se contradizem muito, uns
> falando que não existem vírus pra linux e outros dizem que sim.

Existem meia dúzia de vírus, nenhum deles "on the wild". São vírus
escritos para provar que é possível escrever vírus para Linux, mas
nenhum deles está por aí, espalhado, infectando máquinas.

Um problema parecido com vírus são os worms que infectam sistemas
vulneráveis, mas estes não são tecnicamente vírus. E o último que eu
ouvi falar que atacava software que rodava no Linux foi... Putz, eu
nem lembro... Alguém?

[]s
-- 
.O. Cesar A. K. Grossmann ICQ: 35659423
..O http://www.LinuxByGrossmann.cjb.net/
OOO Quidquid Latine dictum sit, altum viditur
*******************************************************************
	De: 	Paulino Kenji Sato <paulino@nobel.com.br>
Para: 	Monique <magnicky@mar.com.br>
Cc: 	linux-br@bazar2.conectiva.com.br
Assunto: 	Re: (linux-br) Vírus no Linux?
Data: 	Fri, 13 May 2005 18:27:31 -0300 (BRT)	
On Fri, 13 May 2005, Monique wrote:

> Alguém sabe de algum site legal e confiável que confirme se existem vírus no
> Linux ou não?
de uma olhada aqui
http://us.mcafee.com/virusInfo/vil/alphar_app.asp?char=linux&SearchType=2
http://us.mcafee.com/virusInfo/vil/alphar_app.asp?char=unix&SearchType=2
http://us.mcafee.com/virusInfo/vil/alphar_app.asp?char=bsd&SearchType=2

Repare que a maioria são worns ou trojans, que usam algum problema de
segurança conhecido na epoca do aparecimento.
Metodo de infeção de algums esta assim:
O elf (programa)  precisa ser executado manualmente.

> Estou com essa dúvida. Pois li vários artigos que se contradizem muito, uns
> falando que não existem vírus pra linux e outros dizem que sim.
>

Eles existem.
Felizmente a maioria já foi destruido ou esta guardado em um laboratorio
nivel 4. :)

> Preciso dessa informação concreta para defender isso em minha monografia da
> faculdade.

Acredito que isso ja tenha sido tema de algum estudo desse tipo.
google eo seu amigo... :)
http://linuxmafia.com/~rick/faq/index.php?page=virus
http://www.lwfug.org/~abartoli/virus-writing-HOWTO/_html/



                                                                  Paulino
_________________________________ ________________________________________
Paulino Kenji Sato               |    Sistema de Ensino Nobel
http://www.nobel.com.br          |    Maringa Pr                Brasil
*******************************************************************
	De: 	Alejandro Flores <alejandrorflores@gmail.com>
Responder A: 	Alejandro Flores <alejandrorflores@gmail.com>
Para: 	Monique <magnicky@mar.com.br>
Cc: 	linux-br@bazar2.conectiva.com.br
Assunto: 	Re: (linux-br) Vírus no Linux?
Data: 	Fri, 13 May 2005 18:24:25 -0300	
Olá,

> Alguém sabe de algum site legal e confiável que confirme se existem vírus no
> Linux ou não?
> Estou com essa dúvida. Pois li vários artigos que se contradizem muito, uns
> falando que não existem vírus pra linux e outros dizem que sim.

Os virus que podem infectar uma máquina linux não funcionam da mesma
forma que um vírus que infecta um windows. Porque? O linux é um
sistema multi-usuário, ou seja, cada usuário tem suas permissões. Um
usuário, normalmente, não pode acessar os arquivos de outro usuário, a
não ser que o outro usuário (ou o root) dê permissão para tal. Um
usuário não pode se meter no processo de outro usuário, etc...
Então, se um usuário de um linux é infectado por algum 'virus', o
virus tem os privilégios deste usuário, e não vai poder infectar os
'colegas' ou o restante da máquina. Para tal, o virus iria precisar
explorar alguma vulnerabilidade existente para poder ganhar
privilegios de root, e ai sim, poder infectar o sistema.
Então, fazer um virus para linux torna-se uma tarefa mais dificil,
pois além de programar o código do virus, o 'programador' ainda vai
ter que se preocupar em como ganhar privilegios de root para poder
infectar o sistema. Então ele vai escolher um programa vulnerável para
poder explora-lo e ganhar privilegios de root. Porém, com a quantidade
de distribuições, versões, etc... sua propagação e consequente
infecção fica na dependência do virus encontrar um linux com aquele
pacote em específico que possui a vulnerabilidade.
Porém, existe a possibilidade de infecção através da exploração de
vulnerabilidade com execução de código remota. Então, o virus ou worm,
quando explora a vulnerabilidade vai poder executar um código na
máquina com as permissões do usuário que rodava o serviço que ele
derrubou. Normalmente hoje em dia não se roda nenhum processo com
privilegios de root para não acontecer isso, e ainda por cima roda em
modo chroot (enjaulado), de forma que, se ocorrer a exploração, o
'worm' fica enjaulado em alguma área sem acesso ao ambiente.
Porém, o worm pode fazer outras coisas. Um WORM que atacou o apache a
algum tempo atrás, explorava a vulnerabilidade e ganhava acesso a
execução de código na máquina, porém com as permissões do usuário que
roda o apache, que não tem privilegios algum. Porém, esse worm
executava um daemon (processo) e se conectava a uma rede p2p com
outros que foram infectados, criando uma grande rede para execução de
DDoS. Ou seja, sua máquina se tornava um zumbí.
Não é que não existe, existem sim, mas é muito mais complexo o virus
ganhar espaço na máquina.

> Preciso dessa informação concreta para defender isso em minha monografia da
> faculdade.
> Alguém pode me ajudar?

Espero ter ajudado!

> desde já agradeço

-- 
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
*******************************************************************

*******************************************************************