Bliss (Computervirus)
Bliss | |
---|---|
Name | Bliss |
Bekannt seit | 1997 |
Virustyp | Dateivirus |
Autoren | Pseudonym: „Electric Eel“ |
Dateigröße | 17.892 Bytes |
Wirtsdateien | Ausführbare Dateien |
Verschlüsselung | nein |
Stealth | nein |
System | Linux |
Info | Demo-Virus zur Präsentation |
Bliss (englisch für „Glückseligkeit“) ist ein Computervirus, der GNU/Linux-Betriebssysteme befallen kann.
Am 5. Februar 1997 veröffentlichte sein Autor den Quelltext.
Funktion
Bliss schreibt eine Log-Datei über alle seine Aktionen, "/tmp/.bliss" (der Punkt am Anfang des Dateinamens kennzeichnet in Linux versteckte Dateien, die also im gewöhnlichen Anzeige-Modus nicht zu sehen sind). Außerdem gibt es einen Kommandozeilen-Parameter "--bliss-uninfect-files-please" (etwa „Bliss, bitte desinfiziere die Dateien“), der tatsächlich dazu führt, dass die Infektionen rückgängig gemacht werden.[1]
Der Viruscode enthält folgenden Text:[2]
dedicated to rkd infected by bliss skipping, infected with same vers or different type replacing older version replacing ourselves with newer version infect() returning success successfully (i hope) disinfected rsh%s%s %s 'cat>%s;chmod 777 %s;%s;rm -f %s' doing do_worm_stuff() /etc/hosts.equiv Compiled on Sep 28 1996 at 22:24:03 Written by electric eel. help? hah! read the source! bliss was run %d sex ago, rep_wait=%d /usr/spool/news GCC: (GNU) 2.7.2.l.2
Payload
Das Virus enthält keine schädlichen Programmroutinen.
Infektion
Wenn Bliss ausgeführt wird, hängt er sich selbst an ausführbare Dateien (Programme, Skripte), auf die gewöhnliche Benutzer keinen Zugriff haben. Diese ausführbaren Dateien können anschließend nicht mehr ausgeführt werden. Daher wird Bliss sehr rasch bemerkt.
Auswirkungen
Seine Eigenschaften deuten darauf hin, dass Bliss möglicherweise nur geschrieben wurde, um zu beweisen, dass Linux trotz der Benutzerkonten mit Computerviren infiziert werden kann (Proof of Concept). Auch vermehrt sich dieser Virus nicht sehr effektiv, weil das System der Benutzerrechte in Linux eine Verbreitung sehr erschwert. Bliss hat sich nie ausbreiten können und blieb damit eine Kuriosität aus der Forschung.[1][3] Eine massive Sicherheitslücke stellten vor allem die Möglichkeiten der Anweisung chmod 777 dar, die in zeitgemäßen Linux-Versionen aber nicht mehr verfügbar sind.
Nach Staog war Bliss erst der zweite bekannte Virus, der speziell für Linux-Betriebssysteme geschrieben wurde.[1] Linux war allerdings auch zuvor nicht völlig sicher vor Malware. Bootsektorenviren wie Parity Boot, die ausschließlich Maschinenbefehle benutzten gab es bereits seit einigen Jahren. Solche Viren konnten sich teilweise über Linux-Rechnern verbreiten, da sie vom Betriebssystem unabhängig waren.
Als die Entdeckung von Bliss öffentlich bekannt wurde, gaben einige Hersteller von Antivirensoftware Pressemitteilungen heraus. Unter anderem McAfee behauptete, dass nun, da tatsächlich ein Linux-Virus existiere, auch Linux-Benutzer unbedingt Antivirensoftware kaufen sollten, um sich zu schützen. Üblicherweise verwendeten Linux-Benutzer damals keine Antivirensoftware. Sinn machte dies nur auf Servern, die als Datei- oder E-Mail-Server für Windows-Computer dienten. Die Daten wurden aber nur nach Windows-Viren durchsucht.[1]
Siehe auch
Einzelnachweise
- ↑ a b c d F-Secure Advisory.
- ↑ http://virus.wikidot.com/bliss Wiki: Bliss
- ↑ Debian Security Advisory.
Weblinks
- Bliss, a Linux Virus (englisch)