On Thu, 17 May 2001, Mihai Moldovanu wrote:
> > pe UNIX nu exista virtual virusi.
> > nu intra in definitia de virus
>
> Trebuie sa te dezamagesc. Exista virusi de unix.
> Este foarte adevarat ca in acest moment sint extrem de putini, insa
> pe masura ce tehnologia avanseaza avanseaza si virusii.
>
> Iar prin virus inteleg un program capabil sa infecteze alt program,
> sa se multiplice si eventual sa provoace efecte laterale ( a se citi
> distructive) .
si mai are o caracteristica acel program numit virus:
- trebuie sa aiba o generalitate foarte mare, adica sa mearga pe foarte
mult sisteme similare, ori un worm care foloseste un exploit de wuftpd rh
6.2 (pentru ca un exploit depinde de imagina executabilului) nu are
aceasta caracteristica deci nu este virus.
>
> Pricipiile unui ELF infector au fost descrise in Phrack acum citiva ani,
> iar pe http://packetstorm.securify.com/ mai exista ( cred ) sursele .
man nu m-ai inteles
un virus este acel program care se poate multiplica in mii de copii si est
general. acest lucru nu se aplica pe unix. un virus poate fi doar pe un
sistem de operare gen dos/windows unde OS-ul nu face delimitare intre
drepturile useri-lor per resurse.
>
> Ceea ce s-a vazut pina acuma in materie de worm-uri de net e doar virful
> iceberg-ului. Ramen worm era prost programat si mult prea usor de detectat /
> scos . Lion la fel .
lion si ramen nu sunt virusi comform definitiei. deci nu intra in
discutie.
> Imaginati-va urmatorul scenariu ( complet realizabil din punct de vedere
> programare) :
> - scanatul dupa vulnerabilitati facut dupa modelul din Naptha ( cu ip(uri)
> fals(e) din aceasi clasa ) ---> se evita detectia hostului compromis
> - exploit-urile rulate la acelasi stil
acele exploituri sunt punctuale adica depind exact de o anumita
distributie/software deci nu sunt generale deci nu sunt virusi.
> - "remote shell spawned " triggered de o secventa de SYN
> * se evita punerea interfetei in promiscous mode
> * la portscan nu se vede nici un port deschis
> - control remote via secvente de SYN
> - autoupdate de pe un alt system compromis
> - lkm sau direct memory patch ...
> - integrare cu ceva gen tfn2k ....
>
> Si astea sint doar citeva dintre ideiile pe care probabil le vom vedea curind.
>
se pare ce vorbim despre lucruri diferite
ceea ce spui tu nu sunt virusi
----------------------------
Mihai RUSU
RoEduNet Network Engineer
"... and what if this is as good as it gets ?"
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
