Derzeit läuft eine Kampagne zum Versenden von Viren/Trojanern in E-Mail-Nachrichten, die vorgeben, von der HSBC Bank, Lloyds TSB, Amazon usw. zu stammen.
Der Trojaner/Virus wird in einem Anwendungs-/ZIP-Anhang gesendet.
Ich habe eine solche Zip-Datei gespeichert und in einem mir gehörenden Verzeichnis mit der Berechtigung 700 auf einem ext4-Dateisystem entpackt
Um es mit clamscan, avgscan, und zu scannen avast, habe ich die ZIP-Datei gespeichert und ihren Inhalt in ein Verzeichnis „Virus“ entpackt:
File: /home/users/miller/virus
Size: 4096 Blocks: 8 IO Block: 4096 directory
Device: 809h/2057d Inode: 14155801 Links: 2
Access: (0700/drwx------) Uid: ( 1001/ miller) Gid: ( 1000/ users)
Access: 2013-10-03 12:57:47.484923866 +0200
Modify: 2013-10-03 12:57:46.684879168 +0200
Change: 2013-10-03 12:57:46.684879168 +0200
Birth: -
Wie zu erwarten kann ich die Datei umbenennen oder löschen. Die Datei hat die Berechtigung 600 und gehört mir:
$ stat virus.exe
File: virus.exe
Size: 61440 Blocks: 120 IO Block: 4096 regular file
Device: 809h/2057d Inode: 14155809 Links: 1
Access: (0600/-rw-------) Uid: ( 1001/ miller) Gid: ( 1000/ users)
Access: 2013-10-03 12:46:37.194541504 +0200
Modify: 2013-10-01 22:01:44.000000000 +0200
Change: 2013-10-03 13:19:09.263393591 +0200
Birth: -`
Doch jeder Versuch, die Datei zu lesen oder zu kopieren, schlägt fehl.
$ file virus.exe
virus.exe: writable, regular file, no read permission`
cp virus.exe copy.exe
cp: cannot open virus.exe for reading: Operation not permitted`
lsattr virus.exe
lsattr: Operation not permitted While reading flags on virus.exe`
Auch dieser Versuch als Root schlägt fehl.
Wie ist es also möglich , eine Datei unlesbar zu machen, obwohl sie über „RW-Berechtigung“ verfügt, und wie kann sie lesbar gemacht werden, um sie mit avgscan, usw. zu scannen?clamscanavast
* KORREKTUR** (der vorherige Kommentar bezog sich auf die falsche ZIP-Datei)
Nachtrag: Das Ausführen clamscanauf der gespeicherten ZIP-Anhangdatei selbst führt dazu, dass kein Virus/Trojaner/Malware erkannt wird, wahrscheinlich weil sich die interne ausführbare Datei in einem „unlesbaren“ Zustand befindet.
clamscan virus.zip virus.zip: OK
Ebenso avgscanwird avastkeine Malware erkannt.
Dies unterstreicht, wie wichtig es ist, die extrahierte EXE-Datei lesen zu können, und zeigt, dass die clamscanErkennung von Schadsoftware fehlschlägt.
Der ursprüngliche Name der ZIP-Datei ist ORDER-N:N-1414559-3015133.zipund der ursprüngliche Name der ausführbaren Datei ist Order details.exe.
* WICHTIGE ZUSATZINFORMATIONEN *
Um es noch einmal zusammenzufassen: Wenn die ZIP-Datei vom Benutzer Miller entpackt wird, wird eine EXE-Datei erstellt:
60 -rw------- 1 miller users 61440 2013-10-01 22:01 Order details.exe
Dies kann jedoch weder vom Benutzer Miller noch vom Root gelesen werden.
Wenn die ZIP-Datei jedoch von Root entpackt wird, ist die EXE-Datei für Root lesbar:
0 -rw-r--r-- 1 root root 61440 2013-10-01 22:01 Order details.exe
Der Dateibefehl zeigt Folgendes:
[15:57] koala:{virus/}# file Order\ details.exe
Order details.exe: PE32 executable (GUI) Intel 80386, for MS Windows
Welche Einstellung verhindert also, dass der normale Benutzer und Root die vom Benutzer entpackte Datei lesen können?
Die von root entpackte Datei:
$ lsattr Order\ details.exe
-------------e-- Order details.exe
Die Manualpage chattrerklärt:
The 'e' attribute indicates that the file is using extents for mapping
the blocks on disk. It may not be removed using chattr(1).
Auf den Dateisystemen ext2/3/4 gibt es daher eine Catch22-Situation - die mangelnde Lesbarkeit der DateiKANN NICHTgeändert werden, und die Lösung besteht darin, das ZIP-Archiv als Root zu entpacken, um die Erstellung der entpackten Datei mit dem Attribut „e“ zu vermeiden, da die Linux-Entpackungsversion keinen Schalter zum Ignorieren von Attributen hat.
Wird die ZIP-Datei vom Benutzer auf einem XFS-Dateisystem entpackt, ist sie lesbar, da XFS den Mechanismus zum Setzen von Attributen nicht unterstützt.
Und wenn avgscandie EXE-Datei ausgeführt wird:
$ avgscan Order\ details.exe
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ
Virus database version: 3222/6719
Virus database release date: Thu, 03 Oct 2013 06:11:00 +0200
Order details.exe Found Luhe.Fiha.A
Files scanned : 1(1)
Infections found : 1(1)
Die Moral dieser Geschichte istvertraue nicht avgscan, avastoder clamscanwenn in ZIP-Dateien immer Malware gefunden wird – führen Sie den Scan immer für die entpackte ausführbare Datei durch!
Antwort1
Soweit ich das beurteilen kann, ist dieser Befehl der entscheidende Beweis:
lsattr virus.exe
lsattr: Operation not permitted While reading flags on virus.exe
Dies bedeutet im Wesentlichen, dass das zugrunde liegende Dateisystem nicht EXT2/3/4 ist. Da die normalen Berechtigungen manchmal keine Rolle spielen und Dateiattribute möglicherweise auch nicht unterstützt werden.
Beispiel
Ich habe eine per NFS gemountete Freigabe wie folgt.
$ pwd
/home/sam
Wenn ich lsattrdagegen antrete:
$ lsattr /home/sam/ 2>&1 | head -3
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/dead.letter
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/bashrc
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/phillip_phillips_home.mp3
Ich vermute, dass das Dateisystem Ihnen den Zugriff verweigert.