Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

[Wine] "Złośliwe oprogramowanie"?

Witam.

Jestem użytkownikiem Linuksa od lat i właściwie dzisiaj coś mnie skusiło aby spróbować ClamAV - Wolnego, Otwartego i bezpłatnego programu znajdującego "złośliwe oprogramowanie".

Wyniki skanowania mnie lekko zaskoczyły, a dlaczego lekko to już Wam mówię.

ClamAV znalazł kilka trojanów w katalogu Wine, głównie w drive_c/Windows/system32.

Jak widać, jest to "Perfect Keylogger", jednak siedzi on zamknięty w Wine i nie ma żadnych szans aby się wydostać - sam nie wie, że siedzi w klatce :-)

/home/webnull/.wine/drive_c/windows/system32/CEM.exe: Trojan.Perflog-36 FOUND /home/webnull/.wine/drive_c/windows/system32/rinst.exe: Trojan.PerfectKeylogger.153.Gen FOUND /home/webnull/.wine/drive_c/windows/system32/CEMwb.dll: Trojan.PerfectKeylogger.153.Gen FOUND /home/webnull/.wine/drive_c/windows/system32/CEMhk.dll: Trojan.PerfectKeylogger.153.Gen FOUND

Tutaj znowu jakiś trojan, ponoć tworzy wpisy w autostarcie - to znaczy, że włączył się tylko raz bo po wyłączeniu aplikacji używanej przez Wine zginął śmiercią naturalną.

/home/webnull/.wine/drive_c/A.exe: Trojan.Bifrose-8562 FOUND /home/webnull/.wine/drive_c/A.exe.bak: Trojan.Bifrose-8562 FOUND

Najważniejsze co można tu powiedzieć to, że "złośliwe oprogramowanie" nie wydostało się z Wine ani w nim się nie rozprzestrzeniło wystarczająco.

W zasadzie z tego co widać, to trojan raz się uruchomił, ale po wyłączeniu środowiska Wine został zdezaktywowany i wyłączony na zawsze. Dlaczego? - Ponieważ funkcja autostartu w Wine celowo nie działa...

Ochrona w systemie Gentoo

Domyślnie system Gentoo Linux posiada autorskie narzędzie sandbox dzięki któremu można "zamknąć w klatce" dany proces uniemożliwiając mu zapis czy odczyt w danym miejscu.

Niestety muszę zmartwić użytkowników innych systemów operacyjnych - nie znam rozwiązania piaskownicy dla innych systemów operacyjnych.

Można tym sposobem zabronić zapisu w katalogu ~/.wine/drive_c/windows/system32 aplikacjom uruchomianym przez Wine.

~/Sandbox/wine

#!/bin/bash #* addread <path>: allow <path> to be read #* addwrite <path>: allow <path> to be written #* adddeny <path>: deny access to <path> #* addpredict <path>: allow fake access to <path> SANDBOX_INTRACTV=1 . /usr/share/sandbox/sandbox.bashrc addread ~/ addwrite /dev/ addwrite ~/.wine addwrite ~/.wine/system.reg addwrite ~/.wine/userdef.reg addwrite ~/.wine/user.reg addwrite ~/.wine/drive_c/Program\ Files addwrite ~/.wine/drive_c/users addwrite ~/.local/share/ addpredict ~/.wine/drive_c/windows adddeny ~/.purple adddeny ~/.wicd adddeny ~/.config adddeny ~/.gnome2 adddeny ~/.jd adddeny ~/.adobe adddeny ~/.mozilla adddeny ~/.etwolf adddeny ~/.openarena adddeny ~/.evolution adddeny ~/.ooo3 adddeny ~/.ssh adddeny ~/.wireshark adddeny ~/Dokumenty adddeny ~/.irssi addread ~/Obrazy if [ -f "sandbox-variables" ]; then echo "Found sandbox-variables" . sandbox-variables fi #wine $? wine $1 $2 $3 $4 $5 $6 $7 $8 $9

~/Sandbox/wine-kill

Służy za ułatwienie tak na wszelki wypadek gdyby coś się przycięło, jeżeli chodzi o Wine.

Czasami może zajść jak to można powiedzieć "zmieszanie uprawnień", że jakaś część Wine jest uruchomiona na innych uprawnieniach dlatego można zabić całe Wine i uruchomić od nowa w zasadzie jednym poleceniem - ~/Sandbox/wine-kill

#!/bin/bash killall -9 explorer.exe killall -9 wineboot.exe killall -9 services.exe killall -9 winedevice.exe killall -9 plugplay.exe

sandbox-variables

To opcjonalny plik który odpowiada dodatkowym parametrom piaskownicy dla danej aplikacji - oczywiście musi się znajdować w katalogu z aplikacją windowsową.

Najczęściej wpisuje się tam możliwość zapisu do katalogu z aplikacją przykładowo:

addwrite /home/webnull/.wine/dosdevices/d:/STEAM

RunThisApp / RunThisGame

Skrypt uruchamiający dany program lub grę jednym poleceniem od razu w trybie piaskownicy.

#!/bin/bash sandbox /home/webnull/Sandbox/wine steam.exe

Teraz wystarczy tylko uruchomić RunThisApp czy RunThisGame a wszystko powinno się samo ustawić i uruchomić.

W razie czego można wyłączyć wszystkie procesy Wine jeżeli coś będzie nie tak i zacząć od początku uruchamianie aplikacji. 

Komentarze

0 nowych
XeonBloomfield   5 #1 23.04.2011 00:08

"Wyniki skanowania mnie lekko zaskoczyły, a dlaczego lekko to już Wam mówię."

Lekko czy troszkę bardziej zaskoczyły? ;)

webnull   9 #2 23.04.2011 00:09

@XeonBloomfield
Lekko dlatego, że wszystko zostało znalezione w plikach binarnych dla Windows co nie było większym zaskoczeniem.

roobal   15 #3 23.04.2011 03:59

E tam robisz sensację i z igły widły, nie od dziś wiadomo, że wirusy zainstalowane przy pomocy Wine niczego więcej nie zdziałają, niż tylko uruchomione przy jego pomocy i co najwyżej w katalogu Wine Nie wspomnę o tym, że wirus linuksowy uruchomiony na koncie użytkownika nie zdziała nic nic więcej, niż zrobi co najwyżej bałagan w $HOME użytkownika.

Zajrzyj sobie na forum do galerii na moje zrzuty ekranu jak DobrySkaner pięknie wykrył phishera w mojej poczcie, skaner wirusowy działający na Wine :)

Pozdrawiam!

  #4 23.04.2011 21:42

Czy trojan uruchomiony pod wine moze w trakcie swojego dzialania przechwytywac wcisniete klawisze w aplikacjach linuksowych?

  #5 23.04.2011 23:12

Narzędzie o nazwie sandbox chyba zostało opracowane przez twórców Fedory. Jednak patrząc, co tam zrobiłeś z Bashem, to nie wiem czy to te same.

Działa przełącznik -X ?

webnull   9 #6 24.04.2011 12:06

@notgnucy
"webnull@webnull-gentoo-desktop ~ $ sandbox -X
/bin/bash: -X: nieprawidłowa opcja
Użycie: /bin/bash [długa opcja GNU] [opcja] ...
/bin/bash [długa opcja GNU] [opcja] plik-skryptu ...
Długie opcje GNU:
--debug
--debugger
--dump-po-strings
--dump-strings
--help
--init-file
--login
--noediting
--noprofile
--norc
--posix
--protected
--rcfile
--restricted
--verbose
--version
Opcje powłoki:
-irsD lub -c polecenie lub -O shopt_option (tylko wywołanie)
-abefhkmnptuvxBCHP lub -o opcja"

Sandbox przekierowuje wszystko do basha.

webnull   9 #7 24.04.2011 12:07

@qefrqwec55yvewywv (niezalogowany) | 23.04.2011 21:42
Być może - tego nie testowałem.

Może jak będę mieć czas i ochotę to napiszę keyloggera aby przetestować pod Wine.

  #8 13.05.2011 13:40

ja tam nie chce straszyć ale gdy "/home" jest dostępny przez wine można zrobić w szkodniku coś co zapisze np. skrypt bash odpalający go przez wine np. w przypadku kde3 tutaj "~/.kde/autostart/" i jeśli program np. będzie umiał przechwycić klawisze to lipa.

webnull   9 #9 13.05.2011 16:12

@superktosnielos (niezalogowany) | 13.05.2011 13:40
Dlatego stawiamy sandboksa zabraniając zapisu do katalogu domowego.

kurczak1974   1 #10 18.05.2011 22:20

zalapalem brivs a czy przez niego moze mi komputer sie nieurochamiac dopiero po paru godzinach moge go wlaczyc jak go zresetuje to jest to samo na nowo niemoge go uruchomic pomocy dziekuje