Binäre Vogelgrippe

01.06.2006

Liebe Leserinnen und Leser,

ein gewaltiges Rauschen ging im April durch den Computer-Blätterwald. Was "Sicherheitsexperten schon lang befürchtet" hätten, sei jetzt eingetroffen: Ein Cross-Plattform-Virus infiziere Windows- und Linux-Systeme. Gar von einer "Pandemie" wollte eine der beiden größten deutschen PC-Zeitschriften wissen; die globale Rechner-Seuche "könnte auf einen Schlag 99,5 Prozent aller PCs befallen". Die angebliche Vogelgrippe für PCs – sie infiziert Linux-ELF- und Windows-PE-Binaries – trägt den schönen Doppelnamen Virus.Linux.Bi.a / Virus.Win32.Bi.a und war vom russischen Antivirus-Spezialisten Kaspersky Lab am 7. April entdeckt worden [1].

Eine Masseninfektion durch das als H5N1 für PCs gefeaturete Stück Malware dürfte aber wohl noch eine Zeit auf sich warten lassen. Tatsächlich handelt es sich bei Virus.Linux/Win32.bi.a lediglich um einen Proof of Concept (PoC), mit der ein Virenautor die grundsätzliche Machbarkeit eines solchen Programms demonstrieren wollte – mal wieder. Derartige Konzepte tauchen seit fünf Jahren mit schöner Regelmäßigkeit im März oder April auf (2001: Lindose/Winux, 2002: Metaphor). Anscheinend ist den Virenschreibern über die Osterfeiertage langweilig, Zeit also mal wieder für einen neuen Cross-Plattform-PoC.

Wie schon bei seinen Vorläufern handelt es sich auch beim neuesten Multi-Virus um einen eher mäßig gefährlichen Schädling: Über das Verzeichnis, in den er liegt, kommt er infektionstechnisch nicht hinaus; Daten zerstört er auch nicht. Während er unter Windows, das seine Benutzer ja standardmäßig mit administrativen Rechten ausstattet, zumindest theoretisch jede Datei des Systems infizierten könnte, bleibt er unter Linux auf den Rechte-Kontext des Benutzers beschränkt.

Davon abgesehen, dass das Virus "in the wild" praktisch nicht vorkommt, müssten Sie möglicherweise erst einmal ihr System patchen, um es überhaupt "einzufangen": Unter Kernel 2.6.16 funktioniert Virus.Linux/Win32.bi.a gar nicht. Statt über das Syscall-Interface der Glibc erledigt es seine Systemaufrufe über den alten int-0x80-Mechanismus des Kernels. Aufgrund eines Quirks in GCC geht jedoch bei der Rückkehr aus einem Systemaufruf der Inhalt des EBX-Registers verloren, die Schad-Software "stürzt ab".

Einmal von diesem Missgeschick informiert, nahm sich Linus Torvalds selbst der Sache an: Das zugrunde liegende Compiler-Problem sei grundsätzlich bekannt, man habe eine ganze Reihe von Kernel-Funktionen schon daraufhin angepasst. Dabei sei wohl sys_ftruncate() durchgerutscht, das der Virus nutze. Bei normalen Anwendungen käme dieses "Mis-Feature" nie zum Tragen, es "beiße" lediglich die Infektionslogik des Schädlings [2]. Kein Problem, meinte Torvalds – und lieferte postwendend einen Kernel-Patch, der dem Virus zum korrekten Ablauf verhilft.

Dass Entwickler einen Betriebssystemkern modifizieren, damit Schadsoftware besser funktioniert, dürfte wohl ein bisher einmaliger Vorgang sein. Er spricht aber für die Stärke des Open-Source-Entwicklungsmodells im allgemeinen und des Linux-Kernels im besonderen. Was bedeutet es aber für Linux und Viren? Dass man Linux-Malware ignorieren kann, weil sie nur als Open Source richtig tickt? Dass wir alle schnellstens Viren-Scanner installieren sollten?

Die Wahrheit liegt wohl irgendwo in der Mitte. Unix-artige Betriebssysteme sind aufgrund ihres Benutzer- und Rechtekonzepts grundsätzlich weniger anfällig für Schadsoftware als die Konkurrenz aus Redmond. Als Einfallstore ins System kommen zudem nahezu ausschließlich Backdoors und Exploits in Frage, wie eine aktuelle Studie von Kaspersky [3] zeigt. Wer also sein Linux laufend aktuell hält, auf überflüssige Dienste verzichtet und Software nur aus vertrauenswürdigen Quellen installiert, hat von Malware wenig zu befürchten – Multi-Viren hin, Multi-Viren her.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.
Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 5 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...