Выпущен Linux-руткит нового типа

image

Теги: Linux, руткит

DR Linux 2.6 реализукт принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника.

Компания Immunity, Inc., занимающаяся исследованиями в области компьютерной безопасности, выпустила руткит DR Linux 2.6 (Debug Register Rootkit для Linux ядра 2.6.x), реализующего принципиально новую технику скрытия сетевых сокетов, файлов и процессов злоумышленника. В рутките (rootkit) также предусмотрена возможность удаленного управления, через специально разработанный бэкдор, работающий в виде скрытого пользовательского процесса.

Кроме того, автоматически скрываются дочерние процессы и сокеты, порождаемые спрятанными программами, при этом для таких программ все скрытые руткитом ресурсы являются открытыми. Установка DR Linux 2.6 производится через загрузку модуля ядра.

Вместо классического перехвата обработки системных вызовов или таблицы прерываний (IDT), которые легко обнаруживается утилитами для анализа системы на предмет наличия скрытого ПО, в рутките DR Linux использованы возможности трассировки и отладки в современных процессоров (IA32). DR получает управление, через установку на обработчики системных вызовов аппаратных точек останова (breakpoint), а на определенные области памяти ядра - ловушек (trap).

В качестве защиты, создателям Linux дистрибутивов рекомендуется организовать контроль доступа к отладочным регистрам процессора. Другой метод в выявлении руткита, связан с возможностью анализа признаков загрузки модуля ядра (в следующей версии руткита будет реализована защита от данного метода обнаружения).


или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  
1
07-09-2008 23:05:56
Ждем виндусятников) Запасаемся попкорном
0 |
1
07-09-2008 23:09:11
гавно ваш линакс! а гаварили што вирусав нед!!
0 |
1
07-09-2008 23:44:31
А ща вспомни обещания мелкософта и дяди Билли (640кб, 3д рабочий стол итд.)
0 |
09-09-2008 14:10:22
qsfew, вообще то Винда еще более уязвима! Так же ни одна ОС на 100% не защищена от переполнения буфера(этап установки rootkit'а на компьютер)!
0 |
09-09-2008 14:10:40
qsfew, вообще то Винда еще более уязвима! Так же ни одна ОС на 100% не защищена от переполнения буфера(этап установки rootkit'а на компьютер)!
0 |
1
23-09-2008 12:37:47
Ага, осталось его в репу ядра замейнтейнить ))))))))))))
0 |
1
23-09-2008 12:40:25
при чем тут вирус ))) вирус это то что взламывает виндовс компьютер без явно открытого доступа к нему и ставит его в зомбосеть для рассылки спама, дос аттак на сайты, кражи фтп паролей кредиток и ящиков маил-ру )))) руткит это программа возможность внедрения которой в компьютер существует исключительно при заведомом наличии рутовых прав, далее она просто скрывает себя
0 |
23-09-2008 12:54:39
Вирус - это вредоносная программа, которая заражает файлы пользователя, программ и самой операционной системы и внедряет в них свой код. Не мешай все в кучу. А руткит может жить и в User mode, мой друг. Разберись с терминами и освежи свои знания на http://www.viruslist.com/ru/ К обязательному прочтению http://www.viruslist.com/ru/analysis?pubid=204007621
0 |
1
08-09-2008 11:03:14
сори что заломилсо наверх, ответ рутковской
0 |
1
08-09-2008 21:36:59
Нах. Нужны руткиты если есть загрузочный антивирус
0 |
1
07-09-2008 23:21:09
первый уже тут (:
0 |
1
07-09-2008 23:26:24
руткит руткитом, нет вопросов, в ядро попал может уже чего хош наворотить. вот только: - как он туда попадет? - при обновлении ядра он тоже будет нормально работать?
0 |
1
07-09-2008 23:28:06
предлагаю разработчикам руткита открыть код и отдать в kernel.org, а то они заипуцо все версии ядра поддерживать
0 |
07-09-2008 23:50:05
- как он туда попадет? Эксплойт на выполнение произвольного кода && локального повышения привилегий для какого-нить приложения. З.Ы. Вот представляю - ща виндузятники раскричатся)) З.З.Ы "в рутките DR Linux использованы возможности трассировки и отладки в современных процессоров (IA32)" - ставим х86_64 (IA64) ))
0 |
1
08-09-2008 02:23:36
х86_64 (EM64T Intelовский аналог) IA64 своеобразная арх. Intel (Itanium) пс попридирался слегка)
0 |
08-09-2008 10:02:36
Дак поэтому же и написал отдельно))
0 |
08-09-2008 11:12:59
Ну расшумелись, "гении из детсада" - это фокус я ещё в 1984 году на OS/370 VM проделывал. "Америка через форточку". Лишний раз убедился - всё "новое" в мире микроЭВМ до того великолепно отработано на мэйнфреймах. А шуму подняли. Смешно...
0 |
08-09-2008 11:51:23
Да, до VM/370 микропроцессоры еще почему-то не доросли. Железяка по сравнению с теми помощнее, а вот такого замечательного софта так и нет
0 |
1
08-09-2008 09:46:15
А вот так- как он туда попадет? - при обновлении ядра он тоже будет нормально работать? Конечно да. Учи матчасть.
0 |
1
08-09-2008 10:43:48
с RH репозитария что ли? О_о Конечно да. Учи матчасть.емнип там от версии к версии могут запросто сменить даже процедуру загрузки модуля.
0 |
1
08-09-2008 10:52:03
с RH репозитария что ли? О_о Это пример, как такое может произойти с любым репозиторием, чайник!Debian был первым, вторым RH, кто следующий?емнип там от версии к версии могут запросто сменить даже процедуру загрузки модуля.Так что ж не сменили -то? Баржоми однако поздно пить, когда почки уже отвалились!
0 |
1
08-09-2008 11:05:58
я наверх запостил сцылку, вот те еще, почитай и ознакомсья, таки не просто поддерживать все версии ядра
0 |
1
08-09-2008 15:46:47
Как это?! O_o, а ничего что версия ядра сменилась?! капча 66662
0 |
07-09-2008 23:30:00
линакс ЖЖоте таварисч
0 |
1
07-09-2008 23:56:40
Епт, выпушить пингвина - это высший пилотаж !
0 |
Страницы: 1  2  3  4  5