PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Viren



---SonOfOdin---
07.07.04, 22:50
Hallo, ich hoffe ich bin im ichtigen Forum gelandet.

ich habe ein Problem habe nach einem Routinelauf von BDC folgenden Virus in einer *.exe Datei entdeckt.

Trojan.Spy.Briss.H

Nun meine Frage, kann so ein Trojaner auch für Linux gefährlich werden?
habe komischerweise bei ps -aux als root folgendes ergebnis bekommen:

Password:
Donar:/home/puschi # ps -aux
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.8 0.0 620 72 ? S 20:11 0:04 init [5]
root 2 0.0 0.0 0 0 ? SW 20:11 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 20:11 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 20:11 0:00 [ksoftirqd_CPU0
root 5 0.1 0.0 0 0 ? SW 20:11 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 20:11 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 20:11 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 20:11 0:00 [kinoded]
root 9 0.0 0.0 0 0 ? SW 20:11 0:00 [mdrecoveryd]
root 12 0.0 0.0 0 0 ? SW 20:12 0:00 [kreiserfsd]
root 399 0.0 0.0 0 0 ? SW 20:12 0:00 [kcopyd]
root 757 0.0 0.6 2940 860 ? S 20:12 0:00 /usr/sbin/isdnl
root 975 0.0 0.0 0 0 ? SW 20:12 0:00 [eth0]
root 1050 0.0 0.4 2376 624 ? S 20:12 0:00 /usr/sbin/ipppd
root 1092 0.0 0.1 1560 180 ? S 20:12 0:00 /sbin/syslogd -
root 1095 0.0 0.2 2348 296 ? S 20:12 0:00 /sbin/klogd -c
root 1130 0.0 0.3 3768 464 ? S 20:12 0:00 /usr/sbin/smppp
root 1156 0.0 0.0 0 0 ? SW 20:12 0:00 [khubd]
root 1285 0.0 0.0 1716 4 ? S 20:12 0:00 /sbin/resmgrd
bin 1326 0.0 0.0 1524 4 ? S 20:12 0:00 /sbin/portmap
root 1479 0.0 0.3 4460 420 ? S 20:12 0:00 /usr/lib/samba/
root 1483 0.0 0.0 4916 4 ? S 20:12 0:00 /usr/sbin/sshd
lp 1638 0.0 0.3 5952 428 ? S 20:12 0:00 /usr/sbin/cupsd
wnn 2145 0.0 0.0 2000 40 ? S 20:12 0:00 /usr/sbin/canna
root 2190 0.0 0.1 4168 168 ? S 20:12 0:00 /usr/lib/postfi
postfix 2194 0.0 0.1 4204 140 ? S 20:12 0:00 pickup -l -t fi
postfix 2195 0.0 0.1 4224 176 ? S 20:12 0:00 qmgr -l -t fifo
root 2355 0.0 0.0 2708 4 ? S 20:13 0:00 /opt/kde3/bin/k
root 2400 0.0 0.1 1708 172 ? S 20:13 0:00 /usr/sbin/cron
root 2428 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2432 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2441 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2442 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2443 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2444 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2450 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2594 0.0 0.0 5720 4 ? S 20:13 0:00 /usr/lib/samba/
root 2720 0.9 3.3 81356 4276 ? SL 20:13 0:04 /usr/X11R6/bin/
root 2836 0.0 0.0 3188 4 ? S 20:13 0:00 -:0
root 3374 0.0 0.0 1504 4 ? S 20:13 0:00 /opt/win4lin/bi
root 3443 0.0 0.0 1500 4 tty1 S 20:13 0:00 /sbin/mingetty
root 3444 0.0 0.0 1500 4 tty2 S 20:13 0:00 /sbin/mingetty
root 3445 0.0 0.0 1500 4 tty3 S 20:13 0:00 /sbin/mingetty
root 3446 0.0 0.0 1500 4 tty4 S 20:13 0:00 /sbin/mingetty
root 3447 0.0 0.0 1500 4 tty5 S 20:13 0:00 /sbin/mingetty
root 3448 0.0 0.0 1500 4 tty6 S 20:13 0:00 /sbin/mingetty
puschi 3458 0.0 0.0 2764 4 ? S 20:13 0:00 /bin/sh /usr/X1
puschi 3510 0.0 0.0 27204 80 ? S 20:13 0:00 kdeinit: Runnin
puschi 3513 0.0 0.7 27112 908 ? S 20:13 0:00 kdeinit: dcopse
puschi 3516 0.0 1.1 29224 1408 ? S 20:13 0:00 kdeinit: klaunc
puschi 3519 0.0 1.1 31604 1468 ? S 20:13 0:00 kdeinit: kded
puschi 3534 0.0 0.4 10612 588 ? S 20:13 0:00 /opt/kde3/bin/a
puschi 3536 0.0 0.9 35744 1136 ? S 20:13 0:00 kdeinit: knotif
puschi 3537 0.0 0.0 1488 56 ? S 20:13 0:00 kwrapper ksmser
puschi 3539 0.0 0.4 29468 556 ? S 20:13 0:00 kdeinit: ksmser
puschi 3540 0.1 2.2 31924 2880 ? S 20:13 0:00 kdeinit: kwin -
puschi 3542 0.0 0.4 30604 524 ? S 20:13 0:00 kdeinit: kwrite
puschi 3544 0.3 7.5 33284 9532 ? S 20:13 0:01 kdeinit: kdeskt
puschi 3547 0.1 3.2 34276 4088 ? S 20:13 0:00 kdeinit: kicker
puschi 3553 0.0 1.2 31544 1592 ? S 20:13 0:00 kdeinit: klippe
puschi 3555 0.1 2.0 32880 2552 ? S 20:13 0:00 kamix
puschi 3558 0.1 4.8 31084 6168 ? S 20:13 0:00 kinternet -capt
puschi 3560 0.0 0.9 30364 1220 ? S 20:13 0:00 susewatcher -ca
puschi 3563 0.2 1.6 32560 2072 ? S 20:14 0:01 suseplugger -ca
puschi 3564 0.3 2.4 32536 3152 ? S 20:14 0:01 kdeinit: ksim -
puschi 3565 0.1 2.1 34172 2656 ? S 20:14 0:00 kdeinit: konsol
puschi 3566 0.1 3.0 34168 3808 ? R 20:14 0:00 kdeinit: konsol
puschi 3567 0.1 0.4 33616 592 ? S 20:14 0:00 kdeinit: konque
puschi 3570 0.0 0.7 29032 956 ? S 20:14 0:00 kalarmd --login
root 3573 0.0 0.6 2692 824 pts/3 S 20:14 0:00 su
puschi 3574 0.0 0.0 2908 0 pts/4 SW 20:14 0:00 /bin/bash
puschi 3585 0.0 1.0 27608 1348 ? S 20:14 0:00 kdeinit: kio_fi
root 3590 0.0 0.0 1708 4 ? S 20:15 0:00 /USR/SBIN/CRON
root 3591 0.0 0.0 2452 0 ? SW 20:15 0:00 /bin/sh -c tes
root 3592 0.0 0.3 2456 436 ? S 20:15 0:00 /bin/bash /usr/
root 3907 0.0 0.8 2452 1052 ? SN 20:19 0:00 /bin/sh /etc/cr
root 3915 0.0 0.8 2452 1048 ? SN 20:19 0:00 /bin/sh /usr/bi
root 3935 0.0 0.8 2452 1048 ? SN 20:19 0:00 /bin/sh /usr/bi
nobody 3936 0.0 0.7 2296 884 ? SN 20:19 0:00 su nobody -c /u
root 3937 0.0 4.7 9420 5984 ? SN 20:19 0:00 sort -f
root 3938 0.0 0.2 1484 324 ? SN 20:19 0:00 /usr/lib/find/f
nobody 3939 1.9 0.5 1568 728 ? DN 20:19 0:01 /usr/bin/find /
root 3940 0.0 0.0 0 0 ? Z 20:20 0:00 [cron] <defunct
root 4440 0.4 1.3 2908 1676 pts/3 S 20:20 0:00 bash
root 4447 0.0 0.5 2672 724 pts/3 R 20:20 0:00 ps -aux
Donar:/home/puschi # kill -9 3939
Donar:/home/puschi # kill -9 3936

man beachte den user nobody, der eigendlich nix auf de,m System verloren hat??
Ich habe die Prozesse erstmal beendet, aber könnte das ein aktiver Trojaner unter Linux sein??

Vielen Dank für eure Hilfe

carnil
07.07.04, 23:00
man beachte den user nobody, der eigendlich nix auf de,m System verloren hat??
Ich habe die Prozesse erstmal beendet, aber könnte das ein aktiver Trojaner unter Linux sein??

Vielen Dank für eure Hilfe

Also als nobody wird z.B. ein updatedb ausgeführt, das existiert schon auf dem System. Allerding der Prozess mit der PID 3936 sieht schon ein bisschen komisch aus?

MfG carnil

Svenny
07.07.04, 23:11
das ist der ganz normale updatedb prozess. wäre mal nett die komplette zeile zu sehen

sepp2k
07.07.04, 23:13
Ich denke, dir ist nicht ganz klar, was ein Computer-Virus ist. Ein Computer-Virus ist im Gegensatz zu einem echten Virus nämlich kein Lebewesen, das selbständig agiert (oder wie auch immer man das nennen würde, was ein Virus so macht), sondern ein simples Programm, dass ausgeführt wird und dann das tut, wozu es programmiert wurde. Was ich damit sagen will, ist, dass ein Virus überhaupt nichts machen kann, solange er nicht gestartet wird. Was einige Viren so gefährlich macht, ist, dass einige böse Menschen, die eindeutig zu viel Zeit vor dem PC verbringen (look who's talking *g*), Möglichkeiten gefunden haben, OE und Windows dazu zu bringen, diese Anwendungen von alleine auszuführen, ohne dass eine Benutzereingabe erforderlich ist, und nartürlich die Tatsache, dass einige Computer-Benutzer so leichtsinnig sind, jede Anwendung auszuführen, die sie irgendwo im Internet oder in ihrem E-Mail-Postfach finden.
Wie du sicherlich schon festgestellt hast, ist es nicht so ohne weiteres möglich, Programme im EXE-Format, die zum Benutzen unter Windows programmiert wurden, unter Linux auszuführen, und es ist komplett unmöglich, dass ein Viren-Autor die Möglichkeit hat, dein System dazu zu bewegen, eine EXE-Datei von alleine auszuführen.

Was den User nobody angeht: Das ist ein User ohne Rechte, der zum Beispiel benutzt wird, um Cron-Jobs auszuführen.