Scoperti virus per Ubuntu...cosa ne pensate?

[nicola87]

Cosa ne pensate dei due virus per linux che sono stati scoperti recentemente? Waterfall e Ninja Black


Aggiungo 2 domande sull'argomento:

1.Utilizzando KlamAV (notare che ho detto KlamAV, non ClamTK) riecsco a scannerizzare la home oppure eventuali partizioni non di sistema, ma non rieco a scannerizzare  la radice / . Ricevo il messaggio Acces denied. Non che io sia particolarmente preoccupato per un invasione di virus, ma così per curiosità vorrei sapere come scansionare /

2. Ma il database usato da KlamAV e KlamTK comprende solo i virus per Windows o anche quei pochi germi per MAC e Linux??

[Carlin0]

i database di virus credo che li contengano tutti ...

PS: ma clamtk non è l'interfaccia grafica di klamav ?  ???

[streetcross]

Che non sono virus ma semplici trojan, quindi niente di nuovo sotto il sole, i trojan sono facilissimi da fare per qualsiasi os, per fortuna gnu/linux usa in tutte le sue distro dei repository, basta non scaricare roba al di fuori (se non è proprio affidabile) e sei sicuro al 100%. Per far danni la password la dai tu, un trojan rudimentale lo faccio in 4 secondi dicendoti "dai questo comando da root" tu dai la password e io ti ho fatto formattare l'hd... basta non essere così stupidi da fidarsi di tutti...

[nicola87]

Che non sono virus ma semplici trojan, quindi niente di nuovo sotto il sole, i trojan sono facilissimi da fare per qualsiasi os, per fortuna gnu/linux usa in tutte le sue distro dei repository, basta non scaricare roba al di fuori (se non è proprio affidabile) e sei sicuro al 100%. Per far danni la password la dai tu, un trojan rudimentale lo faccio in 4 secondi dicendoti "dai questo comando da root" tu dai la password e io ti ho fatto formattare l'hd... basta non essere così stupidi da fidarsi di tutti...

Quindi uno può creare un troian che sia tipo uno script, che necessita dei permessi di root per essere eseguito correttamente, e se l'utente glieli da è fritto...è così?

[nicola87]

PS: ma clamtk non è l'interfaccia grafica di klamav ?   Huh?

si infatti...penso che clamTK sia l'interfaccia grafica per gnome, invece KlamAV (scritto con la k iniziale) sia quella per KDE...

Io li ho tutti e 2, ma la programmazione di uno scan ricorrente è possibile solo con KlamAV (o per lo meno con l'altro io non sono capace...). Quindi mi piacerebbe sapere cosa bisogna fare per scannerizzare "/" visto che mi nega l'accesso...

i database di virus credo che li contengano tutti ...

avevo sentito voci secondo cui i database contenevano solo i virus per winzoz, perchè lo scopo degli antivirus era scannerizzare file e partizione destinate a winzoz...
Tu sei sicuro?

[[lost]-Divilinux]

I trojan altro non sono che dei RAT (remote administration tools) quindi posso benissimo creare un programma server ed impacchettarlo in .deb per farlo installare con un nome tipo "dvdrip4linux" o robe del genere. Una volta installato io mi connetto semplicemente con l'altra parte del programma, ovvero il client.
Che effetto fa sapere che un programma del genere si chiama vnc? Fa sicuramente meno effetto che chiamarlo Ninja Black. Ed i polli sono fritti... (yes)

[nicola87]

e se io scannerizzo uno di questi troian.deb con clamav lo riconosce? oppure niente troian per linux in database?

per la questine dei permessi qualcuno mi sa dire?

[[lost]-Divilinux]

e se io scannerizzo uno di questi troian.deb con clamav lo riconosce? oppure niente troian per linux in database?

Se è nel database lo trova...ma se è nel database significa che è un trojan "serio" capace cioè di diffondersi tramite falle del sistema o per altre vie. Se tu crei un trojan (o RAT) che non si diffonde o che comunque non ha molta fortuna come software...tutto finisce li.

[nicola87]

quindi non si sa se in questi database ci sono quei pochi virus/troian che girano per Linux e Mac....

[Pixel]

http://lurker.clamav.net/list/clamav-virusdb.html
poi digiti il nome del virus che ti interessa e vedi se è presente

Ciao

[nicola87]

ma la funzione di ricerca dice:

Search for messages within this mailing list which contain the following keywords:

a me non interessano i messaggi della mailing list ma il database di virus....

e cmq non conosco i nomi dei virus...quindi anche volendo non saprei cosa cercare...

La domanda è:

I database di clamav contengono i "virus" per MAC e Linux??

Ci state girando attorno ma nessuno da una risposta diretta...

si o no...non c'è molto da dire....

[Pixel]

a me non interessano i messaggi della mailing list ma il database di virus....
e cmq non conosco i nomi dei virus...quindi anche volendo non saprei cosa cercare...
La domanda è:
I database di clamav contengono i "virus" per MAC e Linux??
Ci state girando attorno ma nessuno da una risposta diretta...
si o no...non c'è molto da dire....

Allora, in quella ML  c'è l'aggiornamento del DB dei virus, ho cercato Waterfall e Ninja Black ma non ci sono risultati.
Per quanto riguarda la presenza di "virus signature" per sistemi Unix o Mac nel DB, beh.. bastava scrivere Unix o OSX per vedere che all'interno del DB ve ne è qualcuno.
Quindi la risposta è SI... e direi che non c'è altro da dire

[nicola87]

come si  ??? al massimo è no...hai detto che non li hai trovati....

cmq sarò scemo ma ancora non ho capito questo metodo empirico...

cioè io scrivo MAC o Unix nella barra sotto e mi escono tutte le mail dove qulalche persona per qualsiasi motivo ha scritto la parola MAC o Unix...e quindi? questo cosa dovrebbe provare?

[Pixel]

come si  ??? al massimo è no...hai detto che non li hai trovati....
cmq sarò scemo ma ancora non ho capito questo metodo empirico...
cioè io scrivo MAC o Unix nella barra sotto e mi escono tutte le mail dove qulalche persona per qualsiasi motivo ha scritto la parola MAC o Unix...e quindi? questo cosa dovrebbe provare?

Dunque.. vediamo.. scrivo UNIX.. cerco e vado sull'ultima ML del DATABASE VIRUS DI CLAMAV
leggo un po' di risultati...

Author: Robert Scroggins
Date: 2009-02-07 06:53 +100
To: clamav-virusdb
Subject: [clamav-virusdb] Update (daily: 8963)
ClamAV database updated (07 Feb 2009 05-53 +0000): daily.cvd  <----- daily.cvd = aggiornamento giornaliero del DB
Version: 8963

Submission-ID: 6522489
Sender: Farkas Tamas
Added: Trojan.Kobcka-21 <------ aggiunto (per windows)
Virus name alias: Trojan.Dropper.Kobcka.Gen.1 (Bitdefender)

....omissis...

Submission-ID: 6532562
Sender: Don Sullivan
Submission notes: This file does not appear to be malicious. It appears
Submission notes: to be some sort of business card program script--
Submission notes: perhaps for UNIX. <--- potrebbe essere per sistemi UNIX ma non è stato aggiunto in quanto non appare dannoso
Added: No

Il metodo non è empirico, leggo semplicemente il loro database, e comunque NON sono mail normali quelle che leggi, ma le mail di chi aggiunge le signature al db..

Spero di essermi fatto capire.
Ciao

[smurf]

di questi supposti virus o trojan se ne é giá parlato qui http://forum.ubuntu-it.org/viewtopic.php?t=345253.
direi che la discussione si puó riportare di là.
Comunque per non avere problemi di nessun tipo, come giá é stato detto da altri, basta scaricare solo roba dai repository ufficiali.

[nicola87]

Si ok, già ho capito meglio...anche se scrivendo Unix io non trovo nessuna mail [Clamav-db] ma solo delle mail [Clamav-user]...boh....

cmq...

anche facendo come dici il mio dubbio rimane...cioè questi antivirus si preoccupano o no di aggiungere i virus per Linux MAC e Unix al data base??

tu hai trovato scritto:

potrebbe essere per sistemi UNIX ma non è stato aggiunto in quanto non appare dannoso

ok, e quindi? cosa ne deduco? che hai virus per Unix ci guardano? ci guardano molto, poco o così così?? e a quelli per MAC? e a quelli per Linux?

come faccio a sapere se mi proteggono da virus che neanche conosco....? se conosco il virus mi faccio una ricerca come fai tu, ma il punto sono i virus che non conosco! non quelli che conosco!

cioè alla fine gira rigira io non ho ancora capito qual'è la risposta alla domanda  >:( >:(

Proteggono o non proteggono? Lo avranno pur scritto da qualche parte!

[nicola87]

di questi supposti virus o trojan se ne é giá parlato qui http://forum.ubuntu-it.org/viewtopic.php?t=345253.
direi che la discussione si puó riportare di là.
Comunque per non avere problemi di nessun tipo, come giá é stato detto da altri, basta scaricare solo roba dai repository ufficiali.

a me non interessa parlare di quei virus in particolare...mi interessa sapere se il database di clamav è adeguato a proteggersi contro queste sporadiche minaccie...tu mi sai rispondere in maniera diretta?

[pierba]

Meglio mantenere una discussione unica, forse le risposte cercate sono gia` presenti.

Chiudo ed invio qui: http://forum.ubuntu-it.org/viewtopic.php?t=345253

ciao