Binäre Vogelgrippe

Liebe Leserinnen und Leser,

ein gewaltiges Rauschen ging im April durch den Computer-Blätterwald. Was "Sicherheitsexperten schon lang befürchtet" hätten, sei jetzt eingetroffen: Ein Cross-Plattform-Virus infiziere Windows- und Linux-Systeme. Gar von einer "Pandemie" wollte eine der beiden größten deutschen PC-Zeitschriften wissen; die globale Rechner-Seuche "könnte auf einen Schlag 99,5 Prozent aller PCs befallen". Die angebliche Vogelgrippe für PCs – sie infiziert Linux-ELF- und Windows-PE-Binaries – trägt den schönen Doppelnamen Virus.Linux.Bi.a / Virus.Win32.Bi.a und war vom russischen Antivirus-Spezialisten Kaspersky Lab am 7. April entdeckt worden [1].

Eine Masseninfektion durch das als H5N1 für PCs gefeaturete Stück Malware dürfte aber wohl noch eine Zeit auf sich warten lassen. Tatsächlich handelt es sich bei Virus.Linux/Win32.bi.a lediglich um einen Proof of Concept (PoC), mit der ein Virenautor die grundsätzliche Machbarkeit eines solchen Programms demonstrieren wollte – mal wieder. Derartige Konzepte tauchen seit fünf Jahren mit schöner Regelmäßigkeit im März oder April auf (2001: Lindose/Winux, 2002: Metaphor). Anscheinend ist den Virenschreibern über die Osterfeiertage langweilig, Zeit also mal wieder für einen neuen Cross-Plattform-PoC.

Wie schon bei seinen Vorläufern handelt es sich auch beim neuesten Multi-Virus um einen eher mäßig gefährlichen Schädling: Über das Verzeichnis, in den er liegt, kommt er infektionstechnisch nicht hinaus; Daten zerstört er auch nicht. Während er unter Windows, das seine Benutzer ja standardmäßig mit administrativen Rechten ausstattet, zumindest theoretisch jede Datei des Systems infizierten könnte, bleibt er unter Linux auf den Rechte-Kontext des Benutzers beschränkt.

Davon abgesehen, dass das Virus "in the wild" praktisch nicht vorkommt, müssten Sie möglicherweise erst einmal ihr System patchen, um es überhaupt "einzufangen": Unter Kernel 2.6.16 funktioniert Virus.Linux/Win32.bi.a gar nicht. Statt über das Syscall-Interface der Glibc erledigt es seine Systemaufrufe über den alten int-0x80-Mechanismus des Kernels. Aufgrund eines Quirks in GCC geht jedoch bei der Rückkehr aus einem Systemaufruf der Inhalt des EBX-Registers verloren, die Schad-Software "stürzt ab".

Einmal von diesem Missgeschick informiert, nahm sich Linus Torvalds selbst der Sache an: Das zugrunde liegende Compiler-Problem sei grundsätzlich bekannt, man habe eine ganze Reihe von Kernel-Funktionen schon daraufhin angepasst. Dabei sei wohl sys_ftruncate() durchgerutscht, das der Virus nutze. Bei normalen Anwendungen käme dieses "Mis-Feature" nie zum Tragen, es "beiße" lediglich die Infektionslogik des Schädlings [2]. Kein Problem, meinte Torvalds – und lieferte postwendend einen Kernel-Patch, der dem Virus zum korrekten Ablauf verhilft.

Dass Entwickler einen Betriebssystemkern modifizieren, damit Schadsoftware besser funktioniert, dürfte wohl ein bisher einmaliger Vorgang sein. Er spricht aber für die Stärke des Open-Source-Entwicklungsmodells im allgemeinen und des Linux-Kernels im besonderen. Was bedeutet es aber für Linux und Viren? Dass man Linux-Malware ignorieren kann, weil sie nur als Open Source richtig tickt? Dass wir alle schnellstens Viren-Scanner installieren sollten?

Die Wahrheit liegt wohl irgendwo in der Mitte. Unix-artige Betriebssysteme sind aufgrund ihres Benutzer- und Rechtekonzepts grundsätzlich weniger anfällig für Schadsoftware als die Konkurrenz aus Redmond. Als Einfallstore ins System kommen zudem nahezu ausschließlich Backdoors und Exploits in Frage, wie eine aktuelle Studie von Kaspersky [3] zeigt. Wer also sein Linux laufend aktuell hält, auf überflüssige Dienste verzichtet und Software nur aus vertrauenswürdigen Quellen installiert, hat von Malware wenig zu befürchten – Multi-Viren hin, Multi-Viren her.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Mobilviren stehlen Daten

    Der russische Sicherheitsexperte Kaspersky Lab berichtet in seinem Malware-Report für Oktober 2011 von einem Anstieg der Schadsoftware, die sich gegen das Android-Betriebssystem richtet.
  • Schutzfaktor
    Was taugen Antiviren-Scanner unter Linux? 16 Kandidaten für den Firmen- und Heimeinsatz treten zum großen Vergleichstest an.
  • Mehr Schadprogramme für Linux
  • Schutz vor Malware und Viren
    Die Produktion von Malware ist für Kriminelle ein Bombengeschäft. Mit einem Ubuntu-System haben Anwender statistisch gesehen zwar bessere Karten, den Umtrieben zu entgehen, die Einschläge werden jedoch dichter.
  • Mens sana
    Ist Linux sicherer gegen Schadsoftware als Windows? Nein, meint Chefredakteur Jörg Luther – es hat nur die schlaueren Anwender.
Kommentare

Infos zur Publikation

LU 04/2017: SPEZIAL-DISTRIBUTIONEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

WLAN lässt sich nicht einrichten
Werner Hahn, 21.03.2017 14:16, 0 Antworten
Dell Latitude E6510, Ubuntu 16.4, Kabelbox von Telecolumbus. Nach Anklicken des Doppelpfeiles (o...
"Mit Gwenview importieren" funktioniert seit openSuse 42.2 nicht mehr
Wimpy *, 20.03.2017 13:34, 2 Antworten
Bisher konnte ich von Digitalkamera oder SD-Karte oder USB-Stick Fotos mit Gwenview importieren....
Ich habe eine awk Aufgabe und bekomme es nicht so Recht hin
Dennis Hamacher, 10.03.2017 18:27, 1 Antworten
Ich hoffe Ihr könnt mir dabei helfen oder mir zeigen wie der Befehl richtig geschrieben wird. Ich...
Unter Linux Open Suse Leap 42.1 einen Windows Boot/ ISO USB Stick erstellen...
Tim Koetsier, 07.03.2017 15:26, 1 Antworten
Hallo, weiß jemand wie ich oben genanntes Vorhaben in die Tat umsetzen kann ? Wäre echt dankba...
Druckertreiber installieren OpenSuse42.1
Tim Koetsier, 07.03.2017 15:22, 1 Antworten
hallo, kann mir BITTE jemand helfen ich verzweifel so langsam. Habe einen Super Toner von Canon...