23 fev

Vírus de Windows no Linux

Fabio Mazzarino - 23/fev/2007

Diversão, Doses Diárias, Linux, Segurança, Software Livre, Unix -

Foi postado num fórum do UbuntuForums a seguinte questão: “O que acontece ao rodar um vírus de Windows no Linux através do Wine?”.

A questão é muito boa, e pode trazer algumas preocupações reais. O Wine sendo um sistema emulado pode fazer com que o virus ache que realmente está numa máquina Windows e comece a agir como se estivesse infectando o sistema.



Foram feitas algumas experiências, algumas já antigas no site do NewsForge (saiba mais). Veja as conclusões

  • Alguns vírus simplesmente não foram executados (ex. MyDoom);
  • Alguns vírus foram executados mas deram constantes erros de falta de DLLs;
  • Na maioria absoluta dos casos, sempre que o vírus conseguiu ser executado, o sistema foi pelo menos parcialmente infectado;
  • Alguns vírus conseguem fazer cópias de si mesmos nos discos aos quais o Wine tem acesso de escrita, alguns outros não;
  • Alguns vírus funcionaram tão bem que conseguiram se conectar aos seus respecitivos servidores e executar downloads de versões mais atualizadas de si próprio e outros virus;
  • Alguns vírus entram em loop infinito, causando lentidão, não da maneira com que foram projetados, mas tiveram algum impacto;
  • Em algumas experiências o Wine foi executado com direitos de administrador (root ou sudo) e o drive Z: estava mapeado para /, gerando uma infecção generalizada no sistema
  • Os vírus foram detectados normalmente pelo ClamAV

De todos estes fatos é possível tirar a seguinte conclusão

  1. É possível infectar o Linux com Vírus desenvolvidos para Windows.
  2. Em um sistema bem administrado dificilmente haverá uma infecção generalizada, para isso acontecer o Wine deve ser executado com direitos de super-usuário. Portanto não há riscos em um ambiente corporativo sério.
  3. Depois de uma infecção localizada, o melhor a se fazer é remover o diretório ~/.wine e os diretórios aos quais o programa tinha acesso.
  4. O Wine tem tamanha maturidade que é possível enganar até mesmo alguns vírus.

Tags: ,

Comentários

15 Comentários to “Vírus de Windows no Linux”
Thiago Berti:
fevereiro 23rd, 2007 às 6:02 pm

Cara, muito bom saber.
Tinha me perguntado isso uma vez mas fiquei com medo de testar.
Interessante mesmo.


Nícolas:
fevereiro 23rd, 2007 às 11:50 pm

Parabéns…
de grande utilidade esta matéria.
Sempre quis saber os resultados que poderiam trazer a “emulação” de vírus do Windows no Linux.

A conclusão que tiramos, é que, se bem monitorado, vírus não causam “sérios danos” as máquinas…
…mas…

…Alguns casos, como, mapeando a “/”, pode ser mais perigoso, informação que pode ser de muita utilidade ^^
mais uma vez, parabéns pelo artigo!


Danilo Cesar:
fevereiro 24th, 2007 às 10:40 am

Simplesmente Exelente!

[]‘s

Danilo


Manoel B H Carvalho:
fevereiro 24th, 2007 às 12:37 pm

Olá,
Apesar da possibilidade, os vírus geralmente requer DLL nativas do Windows, ou seja, há pouco risco quanto a isso, dependendo de quão completo seja seu WINE e da capacidade de executar as instruções da DLLs. Afetar a pasta .wine, sim. Suas outras pastas, talvez dependendo das permissões dos arquivos do seu computador, uma vez que o wine (somente executado pelo root) não tem como modifica-los, a não ser a polêmica pasta “z:”. No meu caso, criei um usuário fraco (permissões bem restritas) apenas para execução de programas do Wine. Ainda estou testando com esse mesmo usuario, permissões de root para gravação nas pastas windows/system(32) e outros arquivos como win.ini, protegendo mais ainda.

Conclusão: Pra deixar o wine redondinho, dá trabalho. Use se realmente valer a pena, porque só uso para rodar o Steam =)


Markus:
fevereiro 24th, 2007 às 5:58 pm

Será que corre o risco de isso acontecer com usuários do QEMU?


Renan:
fevereiro 24th, 2007 às 9:42 pm

“É possível infectar o Linux com Vírus desenvolvidos para Windows.”

Essa frase está errada. Motivo: quem está infectado não é o Linux. O Wine só está fazendo o que o programa pediu para ele fazer e isso somente irá afetar o sistema em si, se você rodar como root (o que ninguem deve fazer). No máximo, ele vai afetar a sua pasta e isso, se você configurar no wine para ele mapear a unidade.

Seu sistema não vai começar a travar, dar kernel panic, não abrir mais os programas (coisa que aconteceria no Windows).


Bruno Costa:
fevereiro 25th, 2007 às 12:12 pm

COEH, infecção generalizada do “/”?! Você por acaso fica espalhando arquivos executaveis do windows em suas pastas de sistema e executando eles via wine?! Pq este seria o único modo pelo qual um vírus desenvolvido pra windows conseguiria infectar algum executável lá do /usr/bin por exemplo. Não dá pra rodar o notepad.exe sem o wine, imagina um vírus!
Então vamos deixar isso claro:
Aplicativo compilado pra Windows -> Só roda no windows (ou wine)
Aplicativo compilado pra Linux -> Só roda no linux

Ou seja, não espalhe FUD ;)

Ah! esses vírus requerem apis não documentadas e funcionalidades bizarras do windows logo, dificilmente funcionarão no wine.
(No teste da newsforge o único vírus que realmente rodou entrou em loop infinito e não fez mais pn. Loop infinito qualquer um faz ;P)


holokausto-Linux:
fevereiro 25th, 2007 às 6:40 pm

Bonito, Mandou bem!!!


Paulo Brito:
fevereiro 26th, 2007 às 9:14 am

“COEH, infecção generalizada do “/”?! Você por acaso fica espalhando arquivos executaveis do windows em suas pastas de sistema e executando eles via wine?!”

Me corrijam por favor se eu estiver errado, mas apesar de não conseguir que um código inserido num programa linux no /usr/bin funcione, o vírus pode fazer o programa parar de funcionar. Isso talvez seja um problema daqueles chatos do mundo windows.


Neto Cury Blog:
fevereiro 26th, 2007 às 12:06 pm

EXECUTANDO PROGRAMAS WINDOWS NO UBUNTU LINUX VIA WINE – PARTE 2…

Após escrever o artigo que não teria uma continuação, fui quase que obrigado a escrever esta continuação.
O primeiro artigo dizia sobre a possibilidade de rodas programas windows no linux e o Sergio Lima, deu uma dica muito interessante, dizendo …


Rodrigo Belem:
fevereiro 26th, 2007 às 4:01 pm

Artigo no Linux.com

Note to new Linux users: No antivirus needed
http://www.linux.com/article.pl?sid=07/02/13/1637251


Patrick:
janeiro 17th, 2008 às 1:30 am

O bom disso tudo, é que nós que estamos do lado do bem, podemos utilizar essa ferramenta para desenvolver soluções para essas pragas… E isso sim é que vale a pena! Sabendo o que o vírus faz no sistema (linux) poderemos desenvolver várias soluções para acabar com os vírus!


Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer » Infectando Linux com vírus para Windows:
janeiro 19th, 2008 às 3:17 pm

[...] um vetor de ataque? Soluções de virtualização também estão expostas a problemas semelhantes? Post no Doses Diárias Post no NewsForge Site do Wine Wine por Wikipedia Windows API por [...]


Renan:
agosto 16th, 2010 às 6:03 pm

Cara!, que artigo, não sabia disso, eu sempre ouvi falar que Linux éra sistema de hacker, porque podia se criar e testar vírus para linux, e é realmente verdade!, se der algum problema, só apagar o Wine e instalar de novo, [pelo que entendi], mas mesmo assim, eu acho que não vale apena o wine instalado, é melhor rodar o VMWare ou o Virtual Box OSE, alem de rodar os programas com mais compatibilidade, é mais segudo e mais estavel, e pra jogos, é melhor mesmo o Cedega. exelente artigo!


Fabio Mazzarino:
agosto 16th, 2010 às 10:50 pm

Renan:

Sobre não usar wine. É preciso lembrar que existe mais envolvido. Algumas vezes limitações de licenciamento e de orçamento forçam a uma escolha por um emulador sobre um sistema de virtualização. Cada caso é um caso.

Sobre vírus no linux. É perfeitamente possível existir um vírus para linux. Porém sua eficácia é bem inferior a eficácia no windows, basicamente devido às políticas de segurança implementadas no linux e na maioria das distribuições. Ainda assim é perfeitamente possível vírus para linux.


Deixe Seu Comentário

Pesquisar


Publicidade

  • Links

    • An error has occurred; the feed is probably down. Try again later.