Hallo,
ich habe heute eine komische eMail mit einem Anhang "keine.pif" bekommen. Im Dump der Datei fand ich den String "This Program cannot run in DOS Mode" woraus ich schloss, dass es sich um ein Windows-Executable handelt. Neugierig wie ich bin, hab ich das Teil auf eine Diskette kopiert, in keine.exe umbenannt und in einer auf meinem Linux-System unter VMware gestarteten Windows- Installation ausgeführt. Und wie ich vermutet habe - das Programm ist richtig böse. Hat die Windows-Installation total kaputt ge- macht und verursacht Traffic über das virtuelle Netz von VMware. Und jetzt krieg ich es mit der Angst zu tun :-( Mir ist zwar noch nichts aufgefallen, aber ist es theoretisch möglich, dass ein Programm, dass unter VMware läuft:
a) das BIOS überschreibt b) die "reale" Festplatte anspricht (und nicht nur die virtuelle von VMware)
???
Wie arbeitet VMware? Ich denke mir das so, dass VMware jeden Maschinenbefehl des "Gast-OS" liest und selbst interpretiert. Da VMware ja selbst das BIOS emuliert, dürften Befehle über die Ports 80/81 (CMOS) nur dieses emulierte BIOS bzw. dessen emulierten "CMOS-Speicher" ansprechen. Oder wie funktioniert das sonst? Würde mich freuen wenn mich jemand beruhigen könnte :-) , hab nehmlich wirklich kein gutes Gefühl wegen dieser Sache.
Viele Grüße,
Matthias
Am Donnerstag, dem 21. Februar 2002 um 16:01:56, schrieb Matthias Petermann:
Würde mich freuen wenn mich jemand beruhigen könnte :-) , hab nehmlich wirklich kein gutes Gefühl wegen dieser Sache.
Du kannst dir mit so etwas alle Dateien verwursten, auf die du unter vmware Zugriff hast. Und vmware könnte Fehler haben, wodurch noch mehr möglich ist. Ich denke da nur an den Kerneltreiber.
University of applied sciences, Dresden, Germany
Das ist auch 'ne kreative Übersetzung!
Torsten
Hi Torsten,
On Thu, Feb 21, 2002 at 16:12:18 +0100, Torsten Werner wrote:
Du kannst dir mit so etwas alle Dateien verwursten, auf die du unter vmware Zugriff hast. Und vmware könnte Fehler haben, wodurch noch mehr möglich ist. Ich denke da nur an den Kerneltreiber.
Ausserdem laeuft vmware suid root. Ich weiss aber nicht, ob es die Rootrechte irgendwann fallen laesst.
bye, Chris
Hallo Christian,
On Thu, Feb 21, 2002 at 04:21:06PM +0100, Christian Perle wrote:
Ausserdem laeuft vmware suid root. Ich weiss aber nicht, ob es die Rootrechte irgendwann fallen laesst.
ist das prinzipiell möglich, dass ein Programm, das als suid root läuft, diese Rechte während der Laufzeit abtritt und wieder die des (aufrufenden) normalen Nutzers erhält? Hat jetzt mit VMware nicht viel zu tun, würde mich aber trotzdem mal interessieren.
Viele Grüße,
Matthias
Hi Matthias,
On Thu, Feb 21, 2002 at 17:00:34 +0100, Matthias Petermann wrote:
ist das prinzipiell möglich, dass ein Programm, das als suid root läuft, diese Rechte während der Laufzeit abtritt und wieder die des (aufrufenden) normalen Nutzers erhält? Hat jetzt mit VMware
Ja, das geht mit dem System Call setuid(). man 2 setuid sagt Dir mehr.
bye, Chris
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Thursday 21 February 2002 17:37, Christian Perle wrote:
Hi Matthias,
On Thu, Feb 21, 2002 at 17:00:34 +0100, Matthias Petermann wrote:
ist das prinzipiell möglich, dass ein Programm, das als suid root läuft, diese Rechte während der Laufzeit abtritt und wieder die des (aufrufenden) normalen Nutzers erhält? Hat jetzt mit VMware
Ja, das geht mit dem System Call setuid(). man 2 setuid sagt Dir mehr.
Ergaenzung: die uid des Aufrufenden bekommst Du mit getuid, die uid, deren Privilegien das Programm gerade hat mit geteuid (effective UID), ausserdem gibt es noch eine fuid (file uid), die aber unter Linux (meistens? immer?) mit der euid identisch ist.
Konrad
- -- BOFH excuse #250:
Program load too heavy for processor to lift.
Hallo,
On Thu, Feb 21, 2002 at 04:12:18PM +0100, Torsten Werner wrote:
Du kannst dir mit so etwas alle Dateien verwursten, auf die du unter vmware Zugriff hast. Und vmware könnte Fehler haben, wodurch noch mehr möglich ist. Ich denke da nur an den Kerneltreiber.
Ok, aber mal davon ausgehend, dass das Virusprogramm die evtl. vorhandenen Fehler in VMWare nicht kennt, sollte damit zumindest ausgeschlossen werden können, dass mein "reales" BIOS Schaden nimmt. Ich glaube das mach ich nicht gleich wieder...
University of applied sciences, Dresden, Germany
Das ist auch 'ne kreative Übersetzung!
Das hab ich nicht erfunden, ist die "offizielle" englische Um- schreibung für "HTW"
Viele Grüße,
Matthias
Am Donnerstag, dem 21. Februar 2002 um 17:00:34, schrieb Matthias Petermann:
ist das prinzipiell möglich, dass ein Programm, das als suid root läuft, diese Rechte während der Laufzeit abtritt und wieder die des (aufrufenden) normalen Nutzers erhält?
Ja. man setuid u. a.
Am Donnerstag, dem 21. Februar 2002 um 16:58:25, schrieb Matthias Petermann:
Das hab ich nicht erfunden, ist die "offizielle" englische Um- schreibung für "HTW"
War auch kein Vorwurf an deine Adresse, sondern eher an den Übersetzer.
Torsten
Hallo Torsten,
On Thu, Feb 21, 2002 at 05:13:23PM +0100, Torsten Werner wrote:
War auch kein Vorwurf an deine Adresse, sondern eher an den Übersetzer.
...hab ich auch nicht so verstanden :) Kein Problem.
Matthias
Am Donnerstag, 21. Februar 2002 16:01 schrieb Matthias Petermann:
Hallo,
ich habe heute eine komische eMail mit einem Anhang "keine.pif"
etwa: From: marti k0841268@tiscalinet.de
-----------Log-File---------- info: extracting attachment 1 to /var/tmp/av-09616-X9Jlja/av-0 (encoding="8bit", name="(no name)", filename="(no name)") info: extracting attachment 2 to /var/tmp/av-09616-X9Jlja/av-1 (encoding="base64", name="keine.pif", filename="keine.pif") info: extracting attachment 3 to /var/tmp/av-09616-X9Jlja/av-2 (encoding="base64", name="README.TXT", filename="README.TXT") checking file "/var/tmp/av-09616-X9Jlja/av-1" VIRUS! the file "/var/tmp/av-09616-X9Jlja/av-1" contains code of "W32/Magistr.B" checking file "/var/tmp/av-09616-X9Jlja/av-0" checking file "/var/tmp/av-09616-X9Jlja/av-2" -----------------------------
noch nichts aufgefallen, aber ist es theoretisch möglich, dass ein Programm, dass unter VMware läuft:
a) das BIOS überschreibt b) die "reale" Festplatte anspricht (und nicht nur die virtuelle von VMware)
Sollte nicht sein, da vmware keine reale Hardware zur Verfügung stellt. Alles was in vmware läuft hat keine Ahnung, das da draussen noch etwas ist. Woher auch? Wenn jetzt ein Profi daherkommt, kann er das sicher wiederlegen, aber wie wäres mal mit de Frage an VMware selber?
Mit freundlichen Grüßen
Jens Puruckherr
Hallo,
On Thu, Feb 21, 2002 at 04:19:58PM +0100, Jens Puruckherr wrote:
etwa: From: marti k0841268@tiscalinet.de info: extracting attachment 2 to /var/tmp/av-09616-X9Jlja/av-1 (encoding="base64", name="keine.pif", filename="keine.pif") checking file "/var/tmp/av-09616-X9Jlja/av-1" VIRUS! the file "/var/tmp/av-09616-X9Jlja/av-1" contains code of "W32/Magistr.B"
...genau die Mail hab ich auch bekommen. Ich hab nur leider keinen Virenscanner, aber da Du den Namen des Virus hier angibst (W32/ Magistr.B) kann ich ja jetzt mal auf die Suche gehen, was dieser konkret anrichtet.
Wenn jetzt ein Profi daherkommt, kann er das sicher wiederlegen, aber wie wäres mal mit de Frage an VMware selber?
Das werd ich mal versuchen, die müssen es ja wissen.
Viele Grüße,
Matthias
Hallo nochmal,
On Thu, Feb 21, 2002 at 04:19:58PM +0100, Jens Puruckherr wrote:
etwa: From: marti k0841268@tiscalinet.de checking file "/var/tmp/av-09616-X9Jlja/av-1" VIRUS! the file "/var/tmp/av-09616-X9Jlja/av-1" contains code of "W32/Magistr.B" checking file "/var/tmp/av-09616-X9Jlja/av-0"
...scheint zumindest aus Linux-Sicht harmlos zu sein.
http://www.sophos.de/virusinfo/analyses/w32magistrb.html
Matthias
lug-dd@mailman.schlittermann.de
-
Christian Perle -
Jens Puruckherr -
konrad.rosenbaum@t-online.de -
Matthias Petermann -
Torsten Werner