Binäre Vogelgrippe

01.06.2006

Liebe Leserinnen und Leser,

ein gewaltiges Rauschen ging im April durch den Computer-Blätterwald. Was "Sicherheitsexperten schon lang befürchtet" hätten, sei jetzt eingetroffen: Ein Cross-Plattform-Virus infiziere Windows- und Linux-Systeme. Gar von einer "Pandemie" wollte eine der beiden größten deutschen PC-Zeitschriften wissen; die globale Rechner-Seuche "könnte auf einen Schlag 99,5 Prozent aller PCs befallen". Die angebliche Vogelgrippe für PCs – sie infiziert Linux-ELF- und Windows-PE-Binaries – trägt den schönen Doppelnamen Virus.Linux.Bi.a / Virus.Win32.Bi.a und war vom russischen Antivirus-Spezialisten Kaspersky Lab am 7. April entdeckt worden [1].

Eine Masseninfektion durch das als H5N1 für PCs gefeaturete Stück Malware dürfte aber wohl noch eine Zeit auf sich warten lassen. Tatsächlich handelt es sich bei Virus.Linux/Win32.bi.a lediglich um einen Proof of Concept (PoC), mit der ein Virenautor die grundsätzliche Machbarkeit eines solchen Programms demonstrieren wollte – mal wieder. Derartige Konzepte tauchen seit fünf Jahren mit schöner Regelmäßigkeit im März oder April auf (2001: Lindose/Winux, 2002: Metaphor). Anscheinend ist den Virenschreibern über die Osterfeiertage langweilig, Zeit also mal wieder für einen neuen Cross-Plattform-PoC.

Wie schon bei seinen Vorläufern handelt es sich auch beim neuesten Multi-Virus um einen eher mäßig gefährlichen Schädling: Über das Verzeichnis, in den er liegt, kommt er infektionstechnisch nicht hinaus; Daten zerstört er auch nicht. Während er unter Windows, das seine Benutzer ja standardmäßig mit administrativen Rechten ausstattet, zumindest theoretisch jede Datei des Systems infizierten könnte, bleibt er unter Linux auf den Rechte-Kontext des Benutzers beschränkt.

Davon abgesehen, dass das Virus "in the wild" praktisch nicht vorkommt, müssten Sie möglicherweise erst einmal ihr System patchen, um es überhaupt "einzufangen": Unter Kernel 2.6.16 funktioniert Virus.Linux/Win32.bi.a gar nicht. Statt über das Syscall-Interface der Glibc erledigt es seine Systemaufrufe über den alten int-0x80-Mechanismus des Kernels. Aufgrund eines Quirks in GCC geht jedoch bei der Rückkehr aus einem Systemaufruf der Inhalt des EBX-Registers verloren, die Schad-Software "stürzt ab".

Einmal von diesem Missgeschick informiert, nahm sich Linus Torvalds selbst der Sache an: Das zugrunde liegende Compiler-Problem sei grundsätzlich bekannt, man habe eine ganze Reihe von Kernel-Funktionen schon daraufhin angepasst. Dabei sei wohl sys_ftruncate() durchgerutscht, das der Virus nutze. Bei normalen Anwendungen käme dieses "Mis-Feature" nie zum Tragen, es "beiße" lediglich die Infektionslogik des Schädlings [2]. Kein Problem, meinte Torvalds – und lieferte postwendend einen Kernel-Patch, der dem Virus zum korrekten Ablauf verhilft.

Dass Entwickler einen Betriebssystemkern modifizieren, damit Schadsoftware besser funktioniert, dürfte wohl ein bisher einmaliger Vorgang sein. Er spricht aber für die Stärke des Open-Source-Entwicklungsmodells im allgemeinen und des Linux-Kernels im besonderen. Was bedeutet es aber für Linux und Viren? Dass man Linux-Malware ignorieren kann, weil sie nur als Open Source richtig tickt? Dass wir alle schnellstens Viren-Scanner installieren sollten?

Die Wahrheit liegt wohl irgendwo in der Mitte. Unix-artige Betriebssysteme sind aufgrund ihres Benutzer- und Rechtekonzepts grundsätzlich weniger anfällig für Schadsoftware als die Konkurrenz aus Redmond. Als Einfallstore ins System kommen zudem nahezu ausschließlich Backdoors und Exploits in Frage, wie eine aktuelle Studie von Kaspersky [3] zeigt. Wer also sein Linux laufend aktuell hält, auf überflüssige Dienste verzichtet und Software nur aus vertrauenswürdigen Quellen installiert, hat von Malware wenig zu befürchten – Multi-Viren hin, Multi-Viren her.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

title_2014_09

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...