Magne Haagen Flatval:
> Nå har også loveletter-viruset kommet i en unix-variant, dog med meget
> begrensede muligheter på grunn av sikkerheten de fleste *nix systemene har
> i forhold til windows.
>
> Klipp fra http://www.norman.no/virus_info/vbs_loveletter.shtml
[ snapp ]
> Ingen er derfor helt sikre mot virus, selv om dette shellscriptet vil ha
> svært begrensede muligheter for spredning med det store utvalget av linux
> og unix-versjoner ute på markedet med en kaskade av mer eller mindre
> kompatible shell for forskjellige formål.
I tillegg har du to ting til:
- Viruset sprer seg kun gjennom folk som bruker mailprogramma mutt og
mailx. Fyrstnemnde brukast av mange sysadminar og ein del småavanserte
brukarar (dei fleste nybyrjarar bruke pine, som er ein del enklare).
i mailx er litt verre, sidan det vert brukt av root og i mange skript
som vert køyr av root (root er omlag det same som NTs
Administrator-brukar).
Sidan brukarterskelen på begge desse programma er nokså høg, vil det
vere nokså avanserte brukarar som bruker dei - og desse vil (vonleg...)
ha vett til ikkje å køyre uleste skript utan å sjekke dei fyrst...
(Faren er ukyndige root-brukarar, men mi erfaring med desse er at det
ikkje er mailx dei bruker til sin private korrespondanse (eller anna
korrespondanse som krever adressebok)...
- Dei som veit nok om Unix til å vite kva dei skal gjere med eit slikt
vedlegg, vil mest sannsynleg ikkje køyre skriptet.
Dei som ikkje veit kva dei skal gjere med vedlegget, veit det absolutt
ikkje ;)
Så eg trur alt i alt at akkurat _denne_ versjonen av viruset ikkje vil
spre seg så veldig - det er tydeleg at det er ein demo-versjon. Lager
nokon derimot eit skript - eller enno betre: eit lekkert, grafisk linux
(eller tcl/tk) program - som baserer seg på adressebøkene til meir
vanlege mailpogram som pine og netscape... og som kan gå gjennom
sent-mailen din og sende ein ny reply til all mailen din (med same
subject med Re: foran)...
For framtida trur eg dessutan at vi vil sjå fleire virus av den typen
som "del 2" av ILOVEYOU var - den delen som henter ned ei exe-fil frå
ein webserver. Det hjelper ikkje med brannvegg på NHO viss eg kan sende
eg mail til Karl Glad med ein tilforlateleg norsk tekst, feks. om "Her
er LOs lønsberekningskalkulator. Gøyal!!", som han så går til i
nettlesaren sin. Der vert eit program køyrd, og det viser fram ei
festlege side med bilete av Yngve Hågensen i fallskjerm medan han seier
tal eller noko slikt. Det Glad ikkje ser, er at programmet også opner ei
forbindelse ut frå maskina hans som sender ut alle dokument på
harddisken (og nettverksdiskane han har kobla opp) som inneheld orda
"strategi" eller "LO" eller "lønn". Denne forbindelsa kan haldast oppe
heile dagen (eller eit program kan startast automatisk kvar gong han
slår på maskina) - så gjennomgangen av harddisken kan gå så sakte at han
ikkje merker det på maskinytinga eller nettverket.
I frykteleg mange brannveggar er dette trivielt i dag - forbindelsa er
initiert frå "innsida" (av Hr Glad), så då er den jo heilt legal...
(Viss brannveggen er "dum", kan programmet i staden maile dataene.
Stakkaren må jo få lov å sende mail ut frå maskina si.)
Magni :)
-- ulimit is good for you.
This archive was generated by hypermail 2b29 : Thu Aug 03 2000 - 10:25:39 MET DST