mas de como hacer virus en linux por si queres saber
Binarios
a.out
Es un formato realmente simple, casi tanto como los COM de DOS. Actualmente este tipo de ejecutables est? en desuso, pero todav?a quedan sistemas con a.out's (a pesar de que el compilador genere un fichero llamado "a.out", eso no implica que tenga este formato, casi con seguridad se tratar? de un ELF).
Estructura de un ejecutable a.out:
Formato de un a.out.
Infeccion de ejecutables a.out:
Se puede optar por aumentar el tama?o de la secci?n de c?digo (.text) y desplazar el resto del archivo, o tratar de encontrar una cavidad (cavity) para instalar el virus all?. El virus, adem?s, deber? modificar la cabecera para reflejar los cambios (diferente tama?o de secciones, diferente entry point...).
ELF
El formato ELF es el m?s utilizado hoy en d?a en los ejecutables para UNIX. Es un formato muy flexible y bastante bien dise?ado.
Estructura de un ELF:
Formato de un ELF.
Infeccion de ejecutables ELF:
Las investigaciones m?s serias en este campo vienen de la mano de Silvio Cesare. Ha publicado ya numerosos art?culos acerca de este tema, y todos sus virus han sido programados en C, para poder ser compilados en cualquier sistema UNIX. El m?todo que utiliza es el siguiente:
Incrementar un campo en la cabecera del ELF (p_shoff) que indica el desplazamiento u offset donde se encuentra la tabla de cabecera de secciones (Section header table).
Hallar la cabecera de programa del segmento de codigo y:
Incrementar la variable que indica el tama?o que ocupa el c?digo f?sicamente (p_filesz).
Incrementar la variable que indica el tama?o que ocupa el c?digo cuando se carga en memoria (p_memsz).
Para cada cabecera de programa cuyo segmento esta despues del de codigo (que es donde hemos introducido el virus):
Incrementar el offset del segmento en el fichero (p_offset).
Para cada cabecera de seccion cuya seccion este despues de nuestra insercion:
Incrementar sh_offset, para tener en cuenta el nuevo codigo
Insertar el virus en si en el fichero
Esto puede parecer un l?o para m?s de uno, en simples palabras lo que se trata es de hacer el tama?o del segmento de c?digo m?s grande para hacer espacio para el virus. Luego hay que actualizar todos los valores para que el c?digo nuevo se cargue, y cambiar el entry point para que apunte al virus.
Infecci?n de un ELF por el m?todo de Silvio Cesare.
Este m?todo de infecci?n funciona perfectamente, pero no es el ?nico. Wintermute presento en el hackmeeting de 2000 un nuevo virus para Linux, el Lotek, que realizaba una infecci?n aprovechando una cavidad (cavity) en la secci?n ".note".
Recientemente el ex-VXer Bumblebee ha publicado un virus para Linux con residencia per-process en RING-3 y unas cuantas t?cnicas aprendidas en entornos win32. Muchas de las estructuras de win32 tienen su paralelismo en Linux, por lo que gran cantidad de t?cnicas pueden portarse f?cilmente a los virus de Linux.
Ficheros de fuentes
Hay algunos intentos de infectar ficheros fuente en lugar de binarios. Se puede realizar un enfoque desde el punto de vista de ensamblador "inline" o embebido dentro del c?digo, o bien un ejecutable que genere fuente como salida.
Packages: .deb, .rpm, .mdk
Un punto todav?a poco explotado es el de los paquetes de software de las diferentes distribuciones de Linux. Mucha gente utiliza paquetes para instalar programas de manera sencilla y ordenada, y en ocasiones esos paquetes son descargados por un usuario sin privilegios desde un navegador, para ser instalados posteriormente por "root". En ese intervalo de tiempo en el que permanecen en el directorio del usuario sin privilegios podr?an ser infectados y luego, al ser instalados por "root", acceder a todo el sistema.
Un paquete generalmente tiene comprobaciones mediante MD5, pero pueden recalcularse, por lo que este puede ser un punto flaco importante en nuestras distribuciones Linux.
Infecci?n de un paquete .deb tras ser descargado por un usuario desde su navegador.
Ya, pero Linux es seguro, ?no?
Linux es seguro
S?, Linux es bastante seguro. De hecho un virus deber? utilizar algun despiste de configuraci?n en el sistema para poder colarse hasta tener acceso a todas sus partes.
Est? claro que actualmente usar Linux es el mejor antivirus que existe. No he visto a nadie que haya sufrido un virus en Linux y eso que conozco a mucha gente que usa Linux masivamente. Es posible que con el tiempo esta situaci?n vaya cambiando y Linux sea otro escenario donde se libren las batallas entre programadores de virus y de antivirus. Por el momento, salvo experimentos de laboratorio, estamos a salvo.
?C?mo podemos hacer una escalada de privilegios?
Exploits
Un exploit es un programa que aprovecha un fallo en el sistema para conseguir algo no permitido de ?l. Si un virus incluye ese c?digo dentro del suyo, podr?a conseguir acceder a zonas no permitidas y hacerse con el control del sistema.
Este enfoque ha sido utilizado en varios virus para Linux, como el staog por Quantum/VLAD, pero implica la extinci?n del virus en cuanto el fallo que explota el exploit sea subsanado. Algunos virus intentan aprovecharse del exploit, y si no tiene ?xito, eliminan el c?digo del exploit del resto de infecciones.
como veras es posible y de hecho se pueden hacer muy facilmente ... pero vospodes recibir virus de win y retrasmitirlos ademas por eso el antivirus...
saludos
