banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nguy cơ nhiễm virus từ Wine  XML
  [Discussion]   Nguy cơ nhiễm virus từ Wine 13/03/2012 23:08:13 (+0700) | #1 | 258529
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
Từ lúc chuyển sang dùng Linux mình đã để ý tới một ứng dụng rất hay dành cho Linux là Wine, Wine chắc cũng không lạ với mọi người, sau quá trình sử dụng là quá trình vọc Wine. Mình tự đặt câu hỏi là liệu Wine có thể lây nhiễm Virus vào máy đang sử dụng Linux hay không ?. Trong khuôn khổ bài viết này mình sẽ tiến hành phân tích và nêu cách phòng tránh mà mình đã áp dụng.

Trước khi đọc bài viết mình có một số quy ước nhỏ như sau:
Code:
#define Username "noname01"
#define Computername "noname01-pc"
#define ~/ "/home/noname01/"
#define $ "noname01@noname01-pc:~$"


Thực sự nguy cơ này rất rõ ràng, Wine được thực thi với quyền của noname01 sẽ có quyền chỉnh sửa các file thuộc quyền quản lý (own) của noname01. Nói cách khác một chương trình thực thi trong môi trường Wine sẽ có toàn quyền tương tác với /home/noname01/. Chúng ta sẽ để ý tới các Symlink sau:

Code:
~/.wine/dosdevices/c:				-->		~/.wine/drive_c
~/.wine/dosdevices/z:				-->		/
~/.wine/drive_c/users/noname01/My Music	-->		~./My Music
~/.wine/drive_c/users/noname01/My Pictures	-->		~./My Pictures
~/.wine/drive_c/users/noname01/My Videos	-->		~./My Videos
~/.wine/drive_c/users/noname01/My Documents	-->		~./My Documents
~/.wine/drive_c/users/noname01/Desktop		-->		~./Desktop


Việc cài đặt cá ứng dụng "Stand Alone" như FreeBasic compiler, hoặc một số chương trình các bạn tự viết vào ~/, sẽ tạo cơ hội cho virus tiến hành inject vào các file này. Chương trình bị nhiễm nếu vô tình bạn thực thi nó sẽ tạo nên quá trình lây nhiểm sâu hơn vào hệ thống. Virus sẽ tiến hành nâng quyền tùy theo các lỗ hổng khả hữu trên noname01-pc.

Để ngăn chặn việc này mình đã đưa ra một số phương pháp sau:

1.Backup thư mục .wine hiện tại.
Code:
$tar -cvzf backup.tar.gz /home/noname01/.wine


2.Loại bỏ các symlink và thay thế bằng các thư mục.
Code:
$rm ~/.wine/dosdevices/z:
$rm ~/.wine/drive_c/users/noname01/My Music
$rm ~/.wine/drive_c/users/noname01/My Pictures
$rm ~/.wine/drive_c/users/noname01/My Videos
$rm ~/.wine/drive_c/users/noname01/My Documents
$rm ~/.wine/drive_c/users/noname01/Desktop
$mkdir ~/.wine/drive_c/users/noname01/My Music
$mkdir ~/.wine/drive_c/users/noname01/My Pictures
$mkdir ~/.wine/drive_c/users/noname01/My Videos
$mkdir ~/.wine/drive_c/users/noname01/My Documents
$mkdir ~/.wine/drive_c/users/noname01/Desktop


3. Phân quyền chỉ đọc cho *.exe và *.dll.
Code:
$cd ~/.wine
$find -name *.exe -exec chmod a-w {} \;
$find -name *.dll -exec chmod a-w {} \;
while(1){}
[Up] [Print Copy]
  [Discussion]   Nguy cơ nhiễm virus từ Wine 16/03/2012 11:08:31 (+0700) | #2 | 259003
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Căn bản là dùng wine hay bất cứ thứ gì cũng tuyệt đối không bao giờ dùng "root" account. Có nâng mấy quyền cũng nằm trong giới hạn "normal user" thì virus chẳng thể gây tác hại được bao nhiêu (ngoại trừ "normal user" đó không.. normal) smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Nguy cơ nhiễm virus từ Wine 16/03/2012 21:18:49 (+0700) | #3 | 259062
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Linux dùng ELF format còn Windows là PE format thì làm sao lây nhiễm được :-o?
[Up] [Print Copy]
  [Discussion]   Nguy cơ nhiễm virus từ Wine 18/03/2012 09:22:29 (+0700) | #4 | 259168
[Avatar]
chiro8x
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:
Căn bản là dùng wine hay bất cứ thứ gì cũng tuyệt đối không bao giờ dùng "root" account. Có nâng mấy quyền cũng nằm trong giới hạn "normal user" thì virus chẳng thể gây tác hại được bao nhiêu (ngoại trừ "normal user" đó không.. normal) smilie


Ưhm ! em đang tham khảo thêm từ một số nguồn bên ngoài. Về việc thực thi các shellcode cho phép malware có thể chiếm được quyền root tuỳ theo phiên bản của kernel.

LeVuHoang wrote:
Linux dùng ELF format còn Windows là PE format thì làm sao lây nhiễm được :-o? 


Về nguyền tắc thì am hiểu ELF format hoàn toàn có thể tiến hành inject vào file đó được vấn đề là trên Linux khó khăn là ứng dụng thường thực thi ở quyền normal user. Hồi năm 2002 có virus Winux.

Anh có thể tham khảo thêm ở đây:
http://virus.wikia.com/wiki/Winux

Em có đọc qua về nó, cũng khá lâu rồi.
while(1){}
[Up] [Print Copy]
  [Discussion]   Nguy cơ nhiễm virus từ Wine 21/03/2012 20:19:26 (+0700) | #5 | 259520
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

However, cross-platform binary threats have never become a major threat and many researchers in the security field believed there was too much interest in this virus, innovative though it may have been.
 


Mặc dù vậy nhưng có 1 ý tưởng sau có thể thực thi nè:
Người dùng sử dụng VMWare vì vậy vẫn có thể ghi vào linux partition được. Chiro8x check lại xem.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|