Hallo Christian Felsing,
dear Christian Felsing,
* [EMAIL PROTECTED] wrote/schrieb:
> Irgendwo gibt es immer einen Buffer-Overflow, den man ausnutzen kann. So hat
> auch Linux seinen Weg in die M$ X-Box gefunden.
Okay, da hast Du nat�rlich recht.
> Die Sache wird lediglich dadurch entsch�rft, weil die Leute typischerweise
> nicht als Root, sondern als normaler User arbeiten. Systemdateien sind so
> unangreifbar - jedenfalls seit Kernel 2.4.21 (hoffentlich).
Um die Platte nach Mailadressen zu durchsuchen und den Virus per Mail an
andere weiterzusenden, brauchst Du aber keine Root-Rechte, sondern nur ein
statisch gelinktes Programm, das MX-Records aufl�sen und Mails versenden
kann.
Wie ich schon sagte, halte ich es f�r ein Kinderspiel, diesen Sobig-F unter
Linux nachzuprogrammieren. Ganz langsam d�mmerte mir diese Erkenntnis, als
ich beim Kunden sa� und um mich herum die Kacke zu dampfen begann und die
Kollegen sich vor neunmalklugen Spr�chen �ber die doofen Windows-User kaum
noch halten konnten.
Die einzige Schwierigkeit besteht darin, die User zum Doppelklicken zu
bringen. Aber wenn die kritische Masse erreicht ist und es ausreichend
heruntergebl�dete Mailclients gibt, wird auch das kein Problem sein.
Funktionsprinzip des fiktiven Linux-Wurms "2short-A", der genau nach dem
Vorbild von "Sobig-F" arbeitet:
- Wurm taucht im Posteingang des Users auf
- User startet das im Anhang befindliche Executable
- Das Executable...
- Produziert entweder garnichts, oder eine m�glichst nichtssagende
Fehlermeldung ("Segmentation fault.")
- Legt eine Kopie von sich unter einem fantasievollen, m�glichst
ebenfalls nichtssagenden Namen an, z.B. "~/.shortrc"
- Schreibt folgendes in die Crontab rein:
@reboot $HOME/.shortrc >/dev/null 2>&1
- Beginnt als Daemon im Hintergrund alle erreichbaren Bereiche der Platte
nach E-Mail-Adressen zu durchsuchen
- Versendet sich an die gefundenen E-Mail-Adressen, indem es den
jeweiligen Mailexchanger einfach selbst ermittelt und dann die Mail im
direkten Gespr�ch mit dem empfangenden MX selbst versendet.
- Schadroutine mit entsprechendem Termin bitte nach Gusto hinzuf�gen.
Da ist nichts im Spiel, das auch nur im entferntesten wie ein Exploit
aussieht. Alles ganz simple Vorg�nge, die jeder User ausf�hren kann. Die
eine oder andere Sache wird also dadurch, da� man nicht als Root arbeitet,
schon entsch�rft, aber auch ein gemeiner User kann richtig viel Schaden
anrichten.
-martin
--
The only person who got his work done by Friday was Crusoe.
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
