linux-l: Linux-Viren ?

Jens Dreger dreger at physik.fu-berlin.de
Do Dez 16 04:40:59 CET 1999


On Thu, 16 Dec 1999, Angelika Meier wrote:

> Quoting Dr. Bernd Freistedt <bf at bcf.in-berlin.de>:
> > ---Rolf Buenning (linux-l at mlists.in-berlin.de) wrote on Wed, 15 Dec 1999 22:45:00 +0100
> > 
> > > hat jemand schon einmal was von Viren bei Linux gehoert?
> > 
> > Hm, koennte sein, dass die Grippewelle kommt :-)
> > 
> > SCNR
> > 
> > BF
> 
> hallo bernd,
> 
> moechte es moeglich sein, dass hier auch etwas
> (nur etwas) ernsthaftere antworten gefragt sind?
> also, mich zB interessiert es eigentlich auch, ob es 
> uer linux 1. ueberhaupt, und wenn, 2. welche art von
> viren gibt.
> 
> problem dabei: mit "SCNR BF" kann ich nix anfangen
> - auch nicht bestwilligst interpretierend...

SCNR = Sorry Could Not Resist

BF = Bernd Freistedt (denke ich)

Letzteres muesste aber doch eigentlich DBF fuer Dr. Bernd Freistedt
heissen ?!? Aber dann waere es zu leicht mir DatenBankFormat zu
verwechseln...

Zum Thema:

Wenn Dein Rechner nicht am Netz haengt, ist die Bedrohung durch Viren
wahrscheinlich nicht so gross. Wenn Du eine DOS-Disk mit Bootblock Virus
reinlegst, und Lilo im MBR angesiedelt ist, kann natuerlich auch ein
DOS-Virus Deinem Linux schaden. Ein Word-Virus dagegen wohl kaum.
Es ist aber prinzipiell sicher moeglich, so etwas wie einen Virus fuer
Linux zu schreiben. Die meisten Virusscanner-Hersteller haben wohl auch
schon Linux-Versionen angekuendigt. Sollten keine entsprechenden
Linux-Viren auftreten, werden die schon welche in Auftrag geben ;-)

Ein Linux-Virus muesste immerhin eine Menge mehr Tricks draufhaben, als
ein DOS-Virus, der ja nur eine .EXE Datei aendern muss. Benutzerrechte
gibt's da ja nicht.

Ich hatte ja mal kuerzlich wegen Disassembler was an die Liste gepostet
(leider hat mir kein Assembler-Freak weitergeholfen. Gibt's die nicht
mehr ?). Inzwischen habe ich ein Programm des Hackers un-deleted (heisst
offenbar btm), welches sogar noch funktioniert: Es erfuellt schon mal
einen Teil der Funktionalitaet eines Virus. Wenn man "btm telnetd"
aufruft, ist danach telnetd verwanzt und beim Start von telnetd wird erst
einmal eine btm-spezifische Routine aufgerufen. Der telnetd verhaelt sich
absolut normal, es sei denn man kontaktiert ihn von einem bestimmten Port
in welchem Fall er ohne zu zoegern eine root-shell startet. Da sich diese
Programm-Modifikation aber nicht von alleine verbreitet, sondern nur
darauf wartet, von aussen aktiviert zu werden, handelt es sich nicht um
einen Virus sondern um ein "Trojanisches Programm". Die automatische
Verbreitung waere sicherlich aeusserst schwierig hinzubekommen. Sowas wie
mit den Mail-Attachments die dann den mailer modifizieren (sehr beliebt
unter Windows mit Outlook) geht ja nicht, weil die Benutzerrechte nicht
reichen. Man braeuchte also noch irgendein weiters Sicherheitsloch...

Gruss,

Jens.

____________________________________________________________________________
Jens Dreger                     | Freie Universitaet Berlin
Cauerstrasse 35a                | Fachbereich Physik, WWW Administration
10587 Berlin                    | Arnimallee 14, 14195 Berlin
Frueher war alles anders, warum soll da nicht heute auch alles anders sein ?




Mehr Informationen über die Mailingliste linux-l