Продолжается кампания по рассылке вирусов/троянов в сообщениях электронной почты, поддельных от имени HSBC Bank, Lloyds TSB, Amazon и т. д.
Троян/вирус отправляется в приложении/zip-файле.
Я сохранил один такой zip-файл и распаковал его в принадлежащую мне директорию с правами доступа 700 в файловой системе ext4.
Чтобы просканировать его с помощью clamscan, avgscan, и avast, я сохранил zip-файл и распаковал его содержимое в каталог «virus»:
File: /home/users/miller/virus
Size: 4096 Blocks: 8 IO Block: 4096 directory
Device: 809h/2057d Inode: 14155801 Links: 2
Access: (0700/drwx------) Uid: ( 1001/ miller) Gid: ( 1000/ users)
Access: 2013-10-03 12:57:47.484923866 +0200
Modify: 2013-10-03 12:57:46.684879168 +0200
Change: 2013-10-03 12:57:46.684879168 +0200
Birth: -
Как и ожидалось, я могу переименовать файл или удалить его. Файл имеет права 600 и принадлежит мне:
$ stat virus.exe
File: virus.exe
Size: 61440 Blocks: 120 IO Block: 4096 regular file
Device: 809h/2057d Inode: 14155809 Links: 1
Access: (0600/-rw-------) Uid: ( 1001/ miller) Gid: ( 1000/ users)
Access: 2013-10-03 12:46:37.194541504 +0200
Modify: 2013-10-01 22:01:44.000000000 +0200
Change: 2013-10-03 13:19:09.263393591 +0200
Birth: -`
Однако любая попытка прочитать файл или скопировать его не увенчалась успехом.
$ file virus.exe
virus.exe: writable, regular file, no read permission`
cp virus.exe copy.exe
cp: cannot open virus.exe for reading: Operation not permitted`
lsattr virus.exe
lsattr: Operation not permitted While reading flags on virus.exe`
Даже попытка сделать это с правами root не удалась.
Так как же можно сделать файл нечитаемым, даже если у него есть «разрешение на чтение» и как сделать его читаемым, чтобы сканировать его с помощью , avgscanи т. д.?clamscanavast
* ИСПРАВЛЕНИЕ** (предыдущий комментарий был о неправильном zip-файле)
Дополнение: запуск clamscanсохраненного вложенного zip-файла сам по себе не приводит к обнаружению вирусов/троянов/вредоносных программ, вероятно, потому, что внутренний исполняемый файл находится в «нечитаемом» состоянии.
clamscan вирус.zip вирус.zip: ОК
Аналогично avgscanи avastне удается обнаружить какое-либо вредоносное ПО.
Это подчеркивает важность возможности прочитать извлеченный exe-файл и показывает, что clamscanвредоносное ПО обнаружить не удается.
Исходное имя zip-файла — ORDER-N:N-1414559-3015133.zip, исходное имя исполняемого файла — Order details.exe.
* ВАЖНАЯ ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ *
Напомним, если zip-файл распаковывается пользователем miller, создается exe-файл:
60 -rw------- 1 miller users 61440 2013-10-01 22:01 Order details.exe
но это не может быть прочитано ни пользователем miller, ни пользователем root.
ОДНАКО, если zip-файл распакован пользователем root, exe-файл будет доступен для чтения пользователю root:
0 -rw-r--r-- 1 root root 61440 2013-10-01 22:01 Order details.exe
Команда file показывает следующее:
[15:57] koala:{virus/}# file Order\ details.exe
Order details.exe: PE32 executable (GUI) Intel 80386, for MS Windows
Так что же мешает обычному пользователю и пользователю root прочитать файл, распакованный пользователем?
Файл, распакованный пользователем root:
$ lsattr Order\ details.exe
-------------e-- Order details.exe
На странице руководства chattrобъясняется:
The 'e' attribute indicates that the file is using extents for mapping
the blocks on disk. It may not be removed using chattr(1).
Таким образом, в файловых системах ext2/3/4 возникает ситуация catch22 — невозможность прочитать файл.НЕ МОГУбыть изменено, и решение состоит в том, чтобы распаковать zip-архив как пользователь root, чтобы избежать создания распакованного файла с атрибутом «e», поскольку версия unzip для Linux не имеет переключателя игнорирования атрибутов.
Если пользователь распаковывает zip-файл в файловой системе XFS, то он доступен для чтения, поскольку XFS не поддерживает механизм установки атрибутов.
И когда avgscanзапускается exe-файл:
$ avgscan Order\ details.exe
AVG command line Anti-Virus scanner
Copyright (c) 2013 AVG Technologies CZ
Virus database version: 3222/6719
Virus database release date: Thu, 03 Oct 2013 06:11:00 +0200
Order details.exe Found Luhe.Fiha.A
Files scanned : 1(1)
Infections found : 1(1)
Итак, мораль этой истории такова:не доверяй avgscan, avast, или clamscanвсегда находите вредоносное ПО в zip-файлах — всегда выполняйте сканирование распакованного исполняемого файла!
решение1
Насколько я могу судить, неопровержимым доказательством является эта команда:
lsattr virus.exe
lsattr: Operation not permitted While reading flags on virus.exe
Это в основном говорит о том, что базовая файловая система не является EXT2/3/4. Учитывая, что обычные разрешения иногда не могут быть фактором, а атрибуты файлов также могут не поддерживаться.
Пример
У меня есть смонтированный общий ресурс NFS следующим образом.
$ pwd
/home/sam
Если я столкнусь lsattrс этим:
$ lsattr /home/sam/ 2>&1 | head -3
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/dead.letter
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/bashrc
lsattr: Inappropriate ioctl for device While reading flags on /home/sam/phillip_phillips_home.mp3
Я предполагаю, что именно файловая система препятствует вам получить к нему доступ.