Home / LinuxUser / 2006 / 06 / Binäre Vogelgrippe

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

Aufmacher Artikel

Binäre Vogelgrippe

01.06.2006

Liebe Leserinnen und Leser,

ein gewaltiges Rauschen ging im April durch den Computer-Blätterwald. Was "Sicherheitsexperten schon lang befürchtet" hätten, sei jetzt eingetroffen: Ein Cross-Plattform-Virus infiziere Windows- und Linux-Systeme. Gar von einer "Pandemie" wollte eine der beiden größten deutschen PC-Zeitschriften wissen; die globale Rechner-Seuche "könnte auf einen Schlag 99,5 Prozent aller PCs befallen". Die angebliche Vogelgrippe für PCs – sie infiziert Linux-ELF- und Windows-PE-Binaries – trägt den schönen Doppelnamen Virus.Linux.Bi.a / Virus.Win32.Bi.a und war vom russischen Antivirus-Spezialisten Kaspersky Lab am 7. April entdeckt worden [1].

Eine Masseninfektion durch das als H5N1 für PCs gefeaturete Stück Malware dürfte aber wohl noch eine Zeit auf sich warten lassen. Tatsächlich handelt es sich bei Virus.Linux/Win32.bi.a lediglich um einen Proof of Concept (PoC), mit der ein Virenautor die grundsätzliche Machbarkeit eines solchen Programms demonstrieren wollte – mal wieder. Derartige Konzepte tauchen seit fünf Jahren mit schöner Regelmäßigkeit im März oder April auf (2001: Lindose/Winux, 2002: Metaphor). Anscheinend ist den Virenschreibern über die Osterfeiertage langweilig, Zeit also mal wieder für einen neuen Cross-Plattform-PoC.

Wie schon bei seinen Vorläufern handelt es sich auch beim neuesten Multi-Virus um einen eher mäßig gefährlichen Schädling: Über das Verzeichnis, in den er liegt, kommt er infektionstechnisch nicht hinaus; Daten zerstört er auch nicht. Während er unter Windows, das seine Benutzer ja standardmäßig mit administrativen Rechten ausstattet, zumindest theoretisch jede Datei des Systems infizierten könnte, bleibt er unter Linux auf den Rechte-Kontext des Benutzers beschränkt.

Davon abgesehen, dass das Virus "in the wild" praktisch nicht vorkommt, müssten Sie möglicherweise erst einmal ihr System patchen, um es überhaupt "einzufangen": Unter Kernel 2.6.16 funktioniert Virus.Linux/Win32.bi.a gar nicht. Statt über das Syscall-Interface der Glibc erledigt es seine Systemaufrufe über den alten int-0x80-Mechanismus des Kernels. Aufgrund eines Quirks in GCC geht jedoch bei der Rückkehr aus einem Systemaufruf der Inhalt des EBX-Registers verloren, die Schad-Software "stürzt ab".

Einmal von diesem Missgeschick informiert, nahm sich Linus Torvalds selbst der Sache an: Das zugrunde liegende Compiler-Problem sei grundsätzlich bekannt, man habe eine ganze Reihe von Kernel-Funktionen schon daraufhin angepasst. Dabei sei wohl sys_ftruncate() durchgerutscht, das der Virus nutze. Bei normalen Anwendungen käme dieses "Mis-Feature" nie zum Tragen, es "beiße" lediglich die Infektionslogik des Schädlings [2]. Kein Problem, meinte Torvalds – und lieferte postwendend einen Kernel-Patch, der dem Virus zum korrekten Ablauf verhilft.

Dass Entwickler einen Betriebssystemkern modifizieren, damit Schadsoftware besser funktioniert, dürfte wohl ein bisher einmaliger Vorgang sein. Er spricht aber für die Stärke des Open-Source-Entwicklungsmodells im allgemeinen und des Linux-Kernels im besonderen. Was bedeutet es aber für Linux und Viren? Dass man Linux-Malware ignorieren kann, weil sie nur als Open Source richtig tickt? Dass wir alle schnellstens Viren-Scanner installieren sollten?

Die Wahrheit liegt wohl irgendwo in der Mitte. Unix-artige Betriebssysteme sind aufgrund ihres Benutzer- und Rechtekonzepts grundsätzlich weniger anfällig für Schadsoftware als die Konkurrenz aus Redmond. Als Einfallstore ins System kommen zudem nahezu ausschließlich Backdoors und Exploits in Frage, wie eine aktuelle Studie von Kaspersky [3] zeigt. Wer also sein Linux laufend aktuell hält, auf überflüssige Dienste verzichtet und Software nur aus vertrauenswürdigen Quellen installiert, hat von Malware wenig zu befürchten – Multi-Viren hin, Multi-Viren her.

Herzliche Grüße,

Jörg Luther

Chefredakteur

Tip a friend    Druckansicht Bookmark and Share
Kommentare

985 Hits
Wertung: 46 Punkte (3 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...