Нужен ли антивирус в Linux?

[HsH]

В указанной статье упоминаются признаки заражения вредоносной программой операционной системы" , а именно наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ".

    По имеющейся у меня информации, вирусную активность проявляет конкретный файл /lib/libkeyutils.so.1.9 (/lib64/libkeyutils.so.1.9 для 64х-разрядных систем.

Проверено три системы: Рунту Lite 10.04 2013, Point Linux и SolusOS. Получается, что все проверенные Linux-дистрибутивы заражённые? Или же это дезинформация в надежде поднять рейтинг компании «Доктор Веб»?

   Встречайте источник заражения "из первых рук" - libkeyutils1.

Статья действительно похожа на попытку продвинуть на пока ещё мало востребованном рынке антивирусной защиты для Linux свой продукт и рассчитана на пользователей, которые находятся во власти привычек, приобретённых в "альтернативной" ОС  .

[Fastor]

Ну так никто не мешает взять исходник и показать программисту. В конце концов собрать библиотеку из чистого исходника и протестировать. Исходники общедоступны, это не проприетарные ОС же.
Поражает сам подход компании Dr.Web, попытка выдать желаемое за действительное. Подменить библиотеку на зараженную можно только либо в репе, либо под рутом. Все. И то, и другое маловероятно, т.к. мало кто ставит системные библиотеки из левых репов.

[kompilainenn]

Подменить библиотеку на зараженную можно только либо в репе, либо под рутом. Все. И то, и другое маловероятно, т.к. мало кто ставит системные библиотеки из левых репов.

тем не менее ставят либы из рра, поскольку бывает, что они там более новые, чеп в стандартных репах и требуются для какого-то софта

[snowman-fedya]

тем не менее, если из-за "дырки" есть возможность получить рута, то установить такую дрянь проблем не составит.

и если эта дрянь нечувствительно просочится к разработчику дистрибутива, который потом сделает свой бинарный набор...

в общем, надо вычислять контрольные суммы и сравнивать с оригинальными, из 100% чистого дистрибутива.

[Fastor]

snowman-fedya, эта "дырка" называется: криворукость сисадмина. Рута без пароля не получить априори. Но некоторые в конфиг sudo вносят изменения, позволяющие осуществлять автоввод пароля.
P.s. Я себе давно взял за привычку: или ставить системные либы из официальных репов дистрибутива, или самому собирать из исходников, предоставляемых разработчиком либы.

[HsH]

  К слову, вот эта уязвимость гораздо опаснее ранее приведённой, по сути является 0-day. Будем надеяться, что в ближайшее время будет устранена, иначе использование ядра 3.5 в сборках на 12.04 под большим вопросом.

P.S.: Уязвимость была закрыта  выпущенным сегодня обновлением ядра.

[Pavels]

Никак не могу понять: речь всё же идёт о том, что какой-то реально существующий вирус подменяет системный файл?
Или это неверная информация (случайная или намеренная), и в действительности такой файл ни в  какой ситуации не является вирусным?
Между прочим, в Runtu LITE 12.04 я его не видел...

Спойлер: ПоказатьСкрыть

we@home-pc:~$ ls /lib
cpp                                   libply-boot-client.so.2.0.0
crda                                  libply.so.2
cryptsetup                            libply.so.2.0.0
firmware                              libply-splash-core.so.2
i386-linux-gnu                        libply-splash-core.so.2.0.0
init                                  libply-splash-graphics.so.2
klibc-LZ1cv1NoEVO2ugnvqTw3e4qPc8Y.so  libply-splash-graphics.so.2.0.0
ld-linux.so.2                         libproc-3.2.8.so
libcryptsetup.so.4                    libsysfs.so.2
libcryptsetup.so.4.0.0                libsysfs.so.2.0.1
libdevmapper-event.so.1.02.1          libulockmgr.so.1
libdevmapper.so.1.02.1                libulockmgr.so.1.0.1
libfuse.so.2                          linux-sound-base
libfuse.so.2.8.6                      lsb
libiw.so.30                           modules
liblvm2app.so.2.2                     oss-compat
libnewt.so.0.52                       plymouth
libnewt.so.0.52.11                    resolvconf
libnl-3.so.200                        security
libnl-3.so.200.3.0                    systemd
libnl-genl-3.so.200                   terminfo
libnl-genl-3.so.200.3.0               udev
libply-boot-client.so.2

[ivm ®]

Так что пользуйтесь антивирусным софтом на здоровье! Лечитесь от вирусов, некоторые из которых созданы и распространены самими антивирусными компаниями для поддержания спроса на свою продукцию!
Вы имеете на это полное право!

[sanb]

Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

http://news.drweb.ru/show/?i=10265
http://vms.drweb.ru/virus/?_is=1&i=8856496

[HsH]

он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен.

    Нужно добавить - "в каталоге пользователя, от имени которого он был запущен". По большому счёту этот вирус ничем не отличается от скрипта, в котором выполняется набор предопределённых команд. Поскольку самостоятельно поднять привилегии не может, нанести вред получится только учётной записи пользователя, который его запустил.

[sanb]

Ну пошифрует документы юзера и все, ну может еще профили приложений отправит куданить или ддосе поучавствует

[HsH]

    sanb, любое действие с правами пользователя, который его запустил.

[sfs]

Появление вирусов специально ориентированных на Линукс - это реально признание Линукса. Поздравляю всех 

[sanb]

    sanb, любое действие с правами пользователя, который его запустил.

а что вы этим хотите сказать?
у большинства в домашних папках много чего интересного есть
документы, профили и тд
это троян с бекдором который еще может принимать команды
что помешает статично скомпиленому трояну собирать ваши манипуляции и слать на сервер?
думаете он не сможет работать из юзерспейса?

[HsH]

    sanb, считаете ли вы вирусом скрипт

Код: [Выделить]

#!/bin/sh
гm -гf ~который пользователь загрузил из интернета и запустил двойным кликом?