Home > GNU/Linux, Riflessioni, Virus e GNU/Linux > Virus su GNU/Linux: i produttori ci riprovano

Virus su GNU/Linux: i produttori ci riprovano

“Attenzione, Linux e Mac non sono al sicuro” ha detto nei giorni scorsi Kaspersky. E un po’ meno recentemente un altro produttore, Sophos, ha lanciato l’allarme: pare che un virus per GNU/Linux, vecchio di 6 anni, stia conoscendo una inaspettata diffusione, tant’è che Sophos ha rilasciato un tool di analisi e rimozione.

Il virus si chiama Linux.RST.B. Cosa fa: infetta il file eseguibili nella directory in cui risiede e poi quelli in /bin (directory che contiene la shell e i principali comandi). Dopodiché si trasforma in una backdoor che permette il controllo remoto del computer infetto.

Paura eh?

Vediamo come si fa a prendere. Prima di tutto occorre procurarsi un file infetto. Dovo averlo ottenuto, dobbiamo renderlo eseguibile. Infine dobbiamo eseguirlo, ma attenzione: con i permessi di amministratore, altrimenti niente infezione e niente backdoor.

Facile no?

Ulteriore problema: come tutti i programmi, un qualsiasi virus deve essere compilato per la libreria C del sistema in uso, o, se scavalca la libreria, su un kernel recente. E’ quindi piuttosto difficile che un eseguibile compilato nel 2001 possa girare su un sistema attuale. Ovviamente è possibile che qualcuno lo ricompili su un sistema attuale.

L’ultima apparizione di questo virus che ho scovato su Internet è questa. Si racconta che qualcuno è entrato nel sistema loggandosi come utente normale, dopo di che ha ottenuto i permessi di root probabilmente con una attacco a forza bruta (ovvero provando tutte le password possibili) oppure usando una vulnerabilità del kernel (ma fare gli aggiornamenti no?) e infine ha installato il virus.

Insomma, è una non-notizia. E la conferma ce la dà la stessa Sophos. Basta visitare la pagina sul virus in questione sul loro sito. E si scopre che il temibilissimo virus è catalogato con livello di rischio “low” (basso).

Symatec, addirittura, lo cataloga come “very low”.

Kaspersky non s’è preso neppure la briga di descriverlo.

Ma per essere proprio chiari, ma chiari chiari chiari, Trendmicro lo classifica come “not in the wild”, ovvero non “in natura”. Insomma non ce l’ha praticamente nessuno.

Cosa insegna questa storia? Che i produttori di antivirus vogliono vendere antivirus. E siccome GNU/Linux è un importante player del mercato, lanciano ogni tanto degli allarmi, per vedere se i pesci abboccano.

  1. 26 ottobre 2008 alle 19:19

    Ciao Guiodic, ottimo articolo come sempre. Vado un po’ fuori tema: di recente mi e’ capitato di dover resuscitare il portatile win di una vicina, ho fatto una scansione antivirus ma con poca convinzione: magari anche l’antivirus era gia’ compromesso.
    La domanda e’: esiste una distro live linux da inserire nel lettore, avviarla, e che ti permetta di effettuare una scansione antivirus sulla partizione win?
    Grazie
    Nico

  2. 26 ottobre 2008 alle 19:55

    @guido
    hai sbagliato a scrivere dove dici “e infine ha installato in virus.”

    @nico
    puoi usare qualsiasi distro live e installare tu l’antivirus, poi usarlo.

  3. 26 ottobre 2008 alle 20:51

    i sistemi unix-like (quindi Linux, BSD, Mac OS ecc…) non avranno mai virus come su windows (si mi riferisco anche a vista ed XP).
    Al massimo potremo parlare di scherzi cattivi fatti ai nuovi utenti o persone che non comprendono la differenza e l’importanza della presenza di un utente di amministratore e un utente “normale”😀
    Per questo uso GNU/Linux.

  4. 26 ottobre 2008 alle 21:04

    @nicomede: knoppix contiene clamav (oltre ad una serie sterminata di programmi)

    @koala: non facciamola troppo facile, ci sono malware anche per GNU/Linux, sono diversi e più difficili da prendere e nella gran parte dei casi riguardano software specifici e non il sistema, ma ci sono.

  5. slaykristian
    27 ottobre 2008 alle 1:29

    Ma dico io… devono per forza essere i signori del commercio ad impegnarsi in una pseudo-lotta contro i virus dei sistemi open source?
    Che mondo strano… Buona notte a tutti!

  6. Hyu
    27 ottobre 2008 alle 23:41

    Sono notizie come questa che ci devono rendere felici. Queste notizie si traducono così:
    Il reparto marketing di un impresa che produce antivirus ha fatto un indagine accurata e ha notato che il mercato di gnu/linux è in crescita e prevede che raggiungerà cifre significative a breve termine ed ha deciso che è l’ora di fare un po’ di FUD per prepararsi la futura clientela.

  7. 29 ottobre 2008 alle 11:18

    ….e far credere alla massa che pure Linux si becca i virus e tanto vale rimanere a Windows.

  8. markon
    29 ottobre 2008 alle 21:07

    Ottimo articolo come sempre guido!

    Mi raccomando, ragazzi cerchiamo di pubblicizzare quanto più possibile notizie del genere. Considerate che ciò reca problemi non è il virus in sè, bensì la cattiva pubblicità che ne viene fatta di linux.
    Purtroppo viviamo in una società dove la forma vale più della sostanza, quindi cerchiamo di smentire queste false notizie.

    Ciao!

  9. solab
    30 ottobre 2008 alle 5:55

    Io dissento profondamente. E’ ovvio che i virus sono fatti ORA per attaccare gli OS di M$ non perchè le sorgenti siano di proprietà privata ma perchè M$ sono ancora oggi almeno l’80% del totale, contando anche cloni e pirati.Il nemico vero delle nostre libertà e sostanze di “utonti” è il produttore di malware, non M$.
    E qui c’entra di molto la legge di Pareto: se M$ detiene l’80% del totale ed è infettabile, il restante 20% “spread” è immune solo finchè rimane minoritario! Quindi se gli utenti di OS Open Source non adottano massicciamente l’ antivirus diventano untori e paradossalmente creano maggiore interesse e motivo di esistere per i produttori di antivirus. Quando domani gli OS (open + registered)saranno distribuiti 50/50, arriverà anche il malware dedicato agli open sources, statene certi…

  10. antonioc.
    30 ottobre 2008 alle 9:20

    @solab

    No, non è così. I sistemi Unix sono immuni ai virus, per il semplice motivo che in essi si adopera l’account user, quello coi minimi privilegi, e non l’account coi privilegi massimi come si fa in Windows.
    Un virus potrà al massimo infettare l’account user.

  11. 30 ottobre 2008 alle 14:22

    solab, ti invito a leggere il mio post sui falsi luoghi comuni su virus e GNU/Linux.

    https://guiodic.wordpress.com/2008/07/19/virus-e-gnulinux-demoliamo-i-falsi-miti/

  12. Sphinx
    30 ottobre 2008 alle 21:52

    Certo certo…è immune perchè si usa l’account user. E allora se usiamo l’account user su windows cosa cambia?

    Nessun software è esente da bug,NESSUNO. E finchè ci saranno bug e qualcuno avrà interesse (e naturalmente le capacità) di sfruttarli,nessuno sarà al sicuro al 100%

    Quando leggo certe cose mi viene da sorridere:ma siamo realisti. Adesso Linux è immune ai virus perchè i virus sono studiati per windows (che ha il mercato maggiore). Ed è attualmente mooolto più sicuro by default. Ma domani chi lo sa? Se la quota sale,sale anche l’interesse di chi produce malware…e come 1+1=2 arriveranno i problemi di sicurezza anche per il pinguino.

  13. 31 ottobre 2008 alle 3:24

    Sphinx, sembra che io non sia proprio riuscito a spiegarmi…

    Hai letto il post sui “falsi miti”?

  14. antonioc.
    31 ottobre 2008 alle 10:12

    @Sphinx

    Innanzitutto NON mi piace il tuo tono di superiorità:

    a. nel tuo caso è assolutamente fuori luogo, chiunque abbia una conoscenze informatiche di un certo livello comprende che tu dici cose inesatte.

    b.Internet è per tutti, nessuno escluso, un luogo per imparare cose nuove, non per per fare il saccente, a meno che, ovviamente, non si
    sia un troll.

    Quindi se sei qui per apprendere, devi sapere che:

    a. NON è possibile usare di routine un account user in Windows, perché Windows è fatto apposta per essere usato da un account Administrator.

    b. NON si devono confondere i virus con gli exploit, sono due cose completamente diverse. Tutti i software sono soggetti agli exploit (quelli Open Source molto meno), mentre solo gli SO Microsoft sono soggetti ai virus, proprio perché tali SO sono studiati proprio per essere usati da account Administrator (cioè coi massimi privilegi).

  15. Sphinx
    31 ottobre 2008 alle 13:22

    @antonioc

    Inanzitutto forse hai frainteso il tono,che non voleva essere di superiorità (forse mi sono espresso male io),comunque..

    Windows lo si pùò usare tranquillamente come user,a patto di sistemare alcune cosucce che altrimenti renderebbero snervante tale utilizzo.Concordo sul fatto che è nato per essere usato administrator.

    Sul fatto di non confondere exploit e virus hai ragione,ho fatto un pò di confusione ;D comunque tutte le letture che ho fatto sul discorso virus-linux non mi hanno mai convinto perchè IMHO se uno con le capacità volesse creare un virus per linux,sono convinto che non sia impossibile.

  16. antonioc.
    31 ottobre 2008 alle 13:46

    @Sphinx

    Bene, sono contento di aver frainteso. Purtroppo Windows non è possibile usarlo di routine, e per un normale utente, dall’account user, ma non lo dico io, lo dice un manager della Microsoft:

    “Most users had administrator privileges on previous Windows systems and most applications needed administrator privileges to install or run.”

    http://news.zdnet.com/2100-9590_22-197085.html

    Se poi tu credi che Vista vada bene, usalo.

    Per quanto riguarda il fatto che è possibile creare virus per Linux, è certamente possibile, ma non potranno fare molto, al massimo infetteranno l’account user.
    Lo so che per un utente Windows è difficile da digerire, pure io una volta usavo Windows.
    Se leggi ciò che ha scritto guiodic sui virus in Linux, vedrai che a poco a poco accetterai la triste realtà.

  17. Hyu
    31 ottobre 2008 alle 22:36

    @Sphinx

    I grandi server che reggono in piedi internet come lo conosciamo sono basati su sistemi Unix o su Linux stesso.

    Se con un virus su windows puoi fare un dispetto a un tizio di cui non sai nemmeno l’identità, o rubargli qualche dato sensibile, con un virus su Unix o Linux potresti far crollare intere reti, mandando a gambe all’aria, ad esempio, il sistema informatico di una banca o di una grande università. Sono sistemi largamente diffusi ogni qual volta ci sia bisogno di un sistema affidabile o grande potenza di calcolo.

    Non sarei tanto sicuro che Linux o Unix non siano bersagli appetibili.

  18. 2 novembre 2008 alle 17:17

    se uno con le capacità volesse creare un virus per linux,sono convinto che non sia impossibile.

    Ma infatti, come ho spiegato, non è che è “impossibile” creare un virus per GNU/Linux (o un sistema Unix qualsiasi).
    Linux.RST.B (e altre varianti) è a tutti gli effetti un virus.
    Il problema è farlo funzionare, cioè renderlo “virale”.
    Perché un virus che non è virale nega se stesso.

  19. Sphinx
    2 novembre 2008 alle 18:01

    Ok…i virus. Ma se parliamo di un qualsiasi altro malware,che possono essere spyware e keylogger per esempio,se gnu/linux dovesse diventare di massa cosa succederebbe? E’ la stessa cosa?
    Li non serve danneggiarmi il pc,ma lo scopo è carpire password e dati in generale…come funzionerebbe in quel caso?

  20. 2 novembre 2008 alle 18:42

    @Sphinx: se uno piglia un pacchetto deb a caso e lo installa non c’è sistema che tenga, questo è chiaro. Ma certo non capita come Windows che ti basta in sostanza navigare e scaricare posta per beccarti virus e altro malware senza che tu abbia installato nulla di proposito.

  21. canditaf
    15 novembre 2008 alle 11:24

    Mi sembra di capire che la “forza” di un sistema unix è che nessun programma può essere installato senza la volontà specifica dell’utente “amministratore” e quindi anche un ipotetico virus dovrebbe essere sempre installato dall’amministratore del sistema e non da un ignaro navigatore su internet e affini…
    ciao

  22. fragualazzi
    9 marzo 2009 alle 14:46

    @sphynx io credo che la vera forza dei sistemi Linux sia la filosofia open source alla loro base: un ipotetico virus o trojan che sfruttasse vulnerabilità di programmi o pacchetti sarebbe individuato da molti più utenti a partire dal codice sorgente, diversamente dai sistemi Winloose, che dispongono solo di protezioni antivirus. In questo modo “prevenire è meglio che curare”…

  23. Max
    1 agosto 2009 alle 20:21

    Ottimo articolo! Solo ora sto cominciando veramente ad apprezzare questo tipo di sistema operativo. Il mio Ubuntu è sicuro al 100% e non ho più quella paura di beccarmi virus e tentativi di controllo come avviene invice su Windows.

  24. PatriX
    24 agosto 2009 alle 16:50

    guido, ti segnalo un articoletto pubblicato su macworld che riporta che secondo i Kaspersky Lab, per mac os X ci sarebbero 48 minacce alla sicurezza, mentre per Linux 1898.
    link
    http://www.macworld.it/blogs/ping/?p=2766

  1. 27 ottobre 2008 alle 12:30
  2. 1 novembre 2008 alle 11:01
  3. 6 giugno 2012 alle 10:50

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: