PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gibt es auch Bootviren für Linux



linosch
30.04.03, 15:29
Hallo zusammen,

ich muß hier ein Refferat schreiben zum Theme Bootvorgang/Viren unter Linux!

Wie der Bootvorgang von statten geht ist mir bekannt, es steht jetzt allerdings noch die Frage offen, ob es für Linux auch bootviren gibt!

Wenn ja - wo finde ich Doku?

Thx

Lino

Sonny
30.04.03, 15:31

echo
30.04.03, 15:42
hi,
tja, ich glaube da musste wohl etwas genauer fragen.
meinste viren die wärend des bootprozesses gestartet werden, sprich durch einen runlevel, oder meinste eher durch den MBR?
viren aus dem MBR sind mir nicht bekannt, jedoch gibs mitlerweile viren auch für linux (meistenst aber nur würmer) und die könnten sich schon in ein init einhängen. dazu müssten sie aber root-rechte erlangen und ein automatismus dafür haben, ob dem so ist, weiss ich aber nicht.

ist es überhaupt intressant ob ein virus in einer startprozedur steckt oder später von nem user (aus versehen) gestartet wurde? wenn so ein virus im speicher ist. wird er alle deine dokus infizieren und bei der uptime unter linux ist das doch wust, ob der virus ne stunde später gestarte werden würde, oder????

cu
echo

tsuribito
30.04.03, 16:00
Wenn der Virus dir schon unter DOS den MBR versaut, kann Linux da auch nichts mehr machen. Sprich nicht mehr booten. Aber Viren wie sie unter WinDOS verbreitet sind, wirst du unter Linux nicht finden. Obwohl es möglich ist nen Shellskript in deinen normalen Runlevel zu setzen, das nen bisschen was löscht.

linosch
30.04.03, 19:40
habt recht herzlichen Dank. Es geht überwiegend Bootviren im MBR. Es ist schon gut zu wissen, dass ein System nicht mehr bootet wenn er durch einen Win/Dos-Virus infiziert worden ist.

Reicht es dann, ein Rescue-System zu starten und Lilo neu zu schreiben?

Gruss

Lino

Steve
30.04.03, 20:50
das hat aber nicht mit Linux zu tun. Wenn der MBR überschrieben ist dann ist auch nichts booten mit Linux. Wenn du keinen Bootmanager im MBR findest, dann ist auch nichts mit booten. Dagagen kann man nichts machen. Ich würde diesen Viren auch nicht als DOS/Win-Viren bezeichenen. Wenn du also sagst, dass diese Linux was anhaben können, dann sitmmt das ja so nicht. Das System ist immernoch so wie vorher, du kannst es nur ohne BM nicht booten. IMHO sollte also ein Neuschreiben des MBR mit lilo oder grub reichen um die Viren wegzumachen.


Steve

HirschHeisseIch
01.05.03, 02:45
Nen MBR-Virus kriegt man ja unter WinDOS auch mit fdisk /mbr wieder weg. Man darf dann halt nur net von der Platte booten, weil der sich dann direkt wieder mit da rein schreibt ;) Und unter Linux kann ich mir das schlecht vorstellen. Der Virus bräuchte root-Rechte, um auf /dev/hda direkt zuzugreifen. Und der Virus wäre so riesig, dass der User, der sich den einfängt das auch verdient hätte ;) :rolleyes:

LX-Ben
08.05.03, 12:20
HUCH - wie immer - SECURITY ist das Letzte.. Forum bei Linuxforen ;)
---

Ich würde diesen Viren auch nicht als DOS/Win-Viren bezeichenen.
GENAU richtig! Zu dem Zeitpunkt, an dem der Urlader der Festplatte von
Festplatte 0 (hex80) gestartet wird, hat die CPU gerade mal ein winziges
Urbetriebssystem in Prozessorsprache aus dem BIOS-ROM gestartet, das
ASCII auf dem Bildschirm darstellen kann, Plattensektoren lesen/schreiben
kann und wenig mehr. MBR-Viren sind also letztlich Prozessorsprache-Viren.

Allerdings kann man damit schon bequem aus dem MBR (Head 0 Track 0 Sector 1)
die Platten-/Partitions-Struktur auslesen und mit direkter Adressierung
-also Head Track Sector (und somit ist auch kein geladenes Dateisystem notwendig)-
auch Malware in den Bootbereich einer Linux-Partition schreiben.

Neue MBR-Viren sind 'aus der Mode gekommen', weil fdisk /mbr und ähnliche
Befehle sie schnell killen und der Ausbreitungsgrad kein Erfolgserlebnis wird.
Gottseidank, denn es gab mal eine sehr tückische Variante, nämlich zB. den
Parity-B mit Verschlüsselung der FAT-Dateizuordnungstabelle ---> nach
Säubern des MBR mit fdisk /mbr war die Partition dann nur noch Schrott.

Aber die Virenprogrammierer werden ja auch immer bequemer - heute schenkt
man sich halt Windows-Virenbaukästen zu Weihnachten.. :D