Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji
Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

[Wine] "Złośliwe oprogramowanie"?

Witam.

Jestem użytkownikiem Linuksa od lat i właściwie dzisiaj coś mnie skusiło aby spróbować ClamAV - Wolnego, Otwartego i bezpłatnego programu znajdującego "złośliwe oprogramowanie".

Wyniki skanowania mnie lekko zaskoczyły, a dlaczego lekko to już Wam mówię.

ClamAV znalazł kilka trojanów w katalogu Wine, głównie w drive_c/Windows/system32.

Jak widać, jest to "Perfect Keylogger", jednak siedzi on zamknięty w Wine i nie ma żadnych szans aby się wydostać - sam nie wie, że siedzi w klatce :-)

/home/webnull/.wine/drive_c/windows/system32/CEM.exe: Trojan.Perflog-36 FOUND /home/webnull/.wine/drive_c/windows/system32/rinst.exe: Trojan.PerfectKeylogger.153.Gen FOUND /home/webnull/.wine/drive_c/windows/system32/CEMwb.dll: Trojan.PerfectKeylogger.153.Gen FOUND /home/webnull/.wine/drive_c/windows/system32/CEMhk.dll: Trojan.PerfectKeylogger.153.Gen FOUND

Tutaj znowu jakiś trojan, ponoć tworzy wpisy w autostarcie - to znaczy, że włączył się tylko raz bo po wyłączeniu aplikacji używanej przez Wine zginął śmiercią naturalną.

/home/webnull/.wine/drive_c/A.exe: Trojan.Bifrose-8562 FOUND /home/webnull/.wine/drive_c/A.exe.bak: Trojan.Bifrose-8562 FOUND

Najważniejsze co można tu powiedzieć to, że "złośliwe oprogramowanie" nie wydostało się z Wine ani w nim się nie rozprzestrzeniło wystarczająco.

W zasadzie z tego co widać, to trojan raz się uruchomił, ale po wyłączeniu środowiska Wine został zdezaktywowany i wyłączony na zawsze. Dlaczego? - Ponieważ funkcja autostartu w Wine celowo nie działa...

Ochrona w systemie Gentoo

Domyślnie system Gentoo Linux posiada autorskie narzędzie sandbox dzięki któremu można "zamknąć w klatce" dany proces uniemożliwiając mu zapis czy odczyt w danym miejscu.

Niestety muszę zmartwić użytkowników innych systemów operacyjnych - nie znam rozwiązania piaskownicy dla innych systemów operacyjnych.

Można tym sposobem zabronić zapisu w katalogu ~/.wine/drive_c/windows/system32 aplikacjom uruchomianym przez Wine.

~/Sandbox/wine

#!/bin/bash #* addread <path>: allow <path> to be read #* addwrite <path>: allow <path> to be written #* adddeny <path>: deny access to <path> #* addpredict <path>: allow fake access to <path> SANDBOX_INTRACTV=1 . /usr/share/sandbox/sandbox.bashrc addread ~/ addwrite /dev/ addwrite ~/.wine addwrite ~/.wine/system.reg addwrite ~/.wine/userdef.reg addwrite ~/.wine/user.reg addwrite ~/.wine/drive_c/Program\ Files addwrite ~/.wine/drive_c/users addwrite ~/.local/share/ addpredict ~/.wine/drive_c/windows adddeny ~/.purple adddeny ~/.wicd adddeny ~/.config adddeny ~/.gnome2 adddeny ~/.jd adddeny ~/.adobe adddeny ~/.mozilla adddeny ~/.etwolf adddeny ~/.openarena adddeny ~/.evolution adddeny ~/.ooo3 adddeny ~/.ssh adddeny ~/.wireshark adddeny ~/Dokumenty adddeny ~/.irssi addread ~/Obrazy if [ -f "sandbox-variables" ]; then echo "Found sandbox-variables" . sandbox-variables fi #wine $? wine $1 $2 $3 $4 $5 $6 $7 $8 $9

~/Sandbox/wine-kill

Służy za ułatwienie tak na wszelki wypadek gdyby coś się przycięło, jeżeli chodzi o Wine.

Czasami może zajść jak to można powiedzieć "zmieszanie uprawnień", że jakaś część Wine jest uruchomiona na innych uprawnieniach dlatego można zabić całe Wine i uruchomić od nowa w zasadzie jednym poleceniem - ~/Sandbox/wine-kill

#!/bin/bash killall -9 explorer.exe killall -9 wineboot.exe killall -9 services.exe killall -9 winedevice.exe killall -9 plugplay.exe

sandbox-variables

To opcjonalny plik który odpowiada dodatkowym parametrom piaskownicy dla danej aplikacji - oczywiście musi się znajdować w katalogu z aplikacją windowsową.

Najczęściej wpisuje się tam możliwość zapisu do katalogu z aplikacją przykładowo:

addwrite /home/webnull/.wine/dosdevices/d:/STEAM

RunThisApp / RunThisGame

Skrypt uruchamiający dany program lub grę jednym poleceniem od razu w trybie piaskownicy.

#!/bin/bash sandbox /home/webnull/Sandbox/wine steam.exe

Teraz wystarczy tylko uruchomić RunThisApp czy RunThisGame a wszystko powinno się samo ustawić i uruchomić.

W razie czego można wyłączyć wszystkie procesy Wine jeżeli coś będzie nie tak i zacząć od początku uruchamianie aplikacji. 

Komentarze

0 nowych
XeonBloomfield   5 #1 23.04.2011 00:08

"Wyniki skanowania mnie lekko zaskoczyły, a dlaczego lekko to już Wam mówię."

Lekko czy troszkę bardziej zaskoczyły? ;)

webnull   9 #2 23.04.2011 00:09

@XeonBloomfield
Lekko dlatego, że wszystko zostało znalezione w plikach binarnych dla Windows co nie było większym zaskoczeniem.

roobal   16 #3 23.04.2011 03:59

E tam robisz sensację i z igły widły, nie od dziś wiadomo, że wirusy zainstalowane przy pomocy Wine niczego więcej nie zdziałają, niż tylko uruchomione przy jego pomocy i co najwyżej w katalogu Wine Nie wspomnę o tym, że wirus linuksowy uruchomiony na koncie użytkownika nie zdziała nic nic więcej, niż zrobi co najwyżej bałagan w $HOME użytkownika.

Zajrzyj sobie na forum do galerii na moje zrzuty ekranu jak DobrySkaner pięknie wykrył phishera w mojej poczcie, skaner wirusowy działający na Wine :)

Pozdrawiam!

  #4 23.04.2011 21:42

Czy trojan uruchomiony pod wine moze w trakcie swojego dzialania przechwytywac wcisniete klawisze w aplikacjach linuksowych?

  #5 23.04.2011 23:12

Narzędzie o nazwie sandbox chyba zostało opracowane przez twórców Fedory. Jednak patrząc, co tam zrobiłeś z Bashem, to nie wiem czy to te same.

Działa przełącznik -X ?

webnull   9 #6 24.04.2011 12:06

@notgnucy
"webnull@webnull-gentoo-desktop ~ $ sandbox -X
/bin/bash: -X: nieprawidłowa opcja
Użycie: /bin/bash [długa opcja GNU] [opcja] ...
/bin/bash [długa opcja GNU] [opcja] plik-skryptu ...
Długie opcje GNU:
--debug
--debugger
--dump-po-strings
--dump-strings
--help
--init-file
--login
--noediting
--noprofile
--norc
--posix
--protected
--rcfile
--restricted
--verbose
--version
Opcje powłoki:
-irsD lub -c polecenie lub -O shopt_option (tylko wywołanie)
-abefhkmnptuvxBCHP lub -o opcja"

Sandbox przekierowuje wszystko do basha.

webnull   9 #7 24.04.2011 12:07

@qefrqwec55yvewywv (niezalogowany) | 23.04.2011 21:42
Być może - tego nie testowałem.

Może jak będę mieć czas i ochotę to napiszę keyloggera aby przetestować pod Wine.

  #8 13.05.2011 13:40

ja tam nie chce straszyć ale gdy "/home" jest dostępny przez wine można zrobić w szkodniku coś co zapisze np. skrypt bash odpalający go przez wine np. w przypadku kde3 tutaj "~/.kde/autostart/" i jeśli program np. będzie umiał przechwycić klawisze to lipa.

webnull   9 #9 13.05.2011 16:12

@superktosnielos (niezalogowany) | 13.05.2011 13:40
Dlatego stawiamy sandboksa zabraniając zapisu do katalogu domowego.

kurczak1974   1 #10 18.05.2011 22:20

zalapalem brivs a czy przez niego moze mi komputer sie nieurochamiac dopiero po paru godzinach moge go wlaczyc jak go zresetuje to jest to samo na nowo niemoge go uruchomic pomocy dziekuje

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.