* Imagenes de instalación de las versiones estables para Mageia y OpenMandriva.

OpenMandriva: Mageia (Mageia 9) 20/Agosto/2023 - Anuncio, Descargas.

Blogdrake recomienda descargar las imágenes de instalación (iso) vía torrent para evitar corrupción de datos, aprovechar mejor su ancho de banda y mejorar la difusión de las distribuciones.

Wine contaminó de virus a una memoria usb

En varios foros he visto la única advertencia que he encontrado sobre el tema. La cuestión es que un amigo mío, el Pastor Gerald, constantemente busca información en Internet, tiene su Data Card y se conecta por medio de ella a la red. Bueno ¿a qué viene tanto cuento? Pues que en mi barrio la red celular no tiene muy buena señal, por ello él usa alguno de los café-net que por acá tenemos. En uno de ellos el servidor tiene instalado Linux, no se cuál versión pero les cuento mañana. La cuestión es que tienen montado el Office 2003 usando Wine y con ello procesan los textos, les llevó un documento en la memoria usb para imprimir, ojo la memoria solo se había usado en la máquina de mi amigo (que tiene Windows muy bien cuidado) y en el servidor. Pues cuando regresa a su hogar le sale una alarma de virus y mi amigo me trae la memoria para correr el Clamav, reproduzco el informe

clamscan -i -r --remove /media/GERALD\ A/
/media/GERALD A/.Trash-1000/files/0/files/RECYCLER/S-51-9-25-3434476501-1644491933-601014628-1214/Instmsv.exe: Worm.Kolab-508 FOUND
/media/GERALD A/.Trash-1000/files/0/files/RECYCLER/S-51-9-25-3434476501-1644491933-601014628-1214/Instmsv.exe: Removed.

----------- SCAN SUMMARY -----------
Known viruses: 836972
Engine version: 0.96.3
Scanned directories: 116
Scanned files: 1196
Infected files: 1
Data scanned: 323.37 MB
Data read: 849.14 MB (ratio 0.38:1)
Time: 68.967 sec (1 m 8 s)

 

Si lo pueden observar, verán que los archivos están ocultos no solo por las propiedades en Windows sino que en el formato de Linux, lo cual me resulta algo inusual, pues es la primera vez que un servidor en Linux, a través de Wine contamina un archiva y observo el fenómeno que los virus se ocultan en carpetas aún para Linux. Esto último me preocupa, claro que tengo herramientas para corregir los problemas pero me preocupa que sea uno de los primeros pasos para conseguir la versión de un virus en Linux.

 

Opciones de visualización de comentarios

Seleccione la forma que desee de mostrar los comentarios y haga clic en «Guardar opciones» para activar los cambios.


Gravatar de drakedalfa

# 108382 Veamos

No es cierto que Wine le infecto la memoria, primero porque el virus tendria que hacer sido corrido con wine para poder copiar el archivo a la raiz de la memoria, cosa que nadie haria. Segundo el archivo exe no esta oculto se llama Instmsv.exe no .Instmsv.exe lo que si, es que esta en la "basura" que usa KDE o GNOME, lo que debe haber pasado es que tu amigo borro el Recycler (directorio que crea el virus en Windows para auto ejecutarse cuando se introduce una memoria USB) y no vacio la papelera al desmontar la memoria, al introducirlo en Windows el busca auto ejecutar los archivos .ini asi que escaneo la memoria y lo encontro en la papelera.

No hubo tal cosa como infeccion de wine :-)



Gravatar de franciscodrake

# 108386 Tu explucación tiene sentido salvo por una cosa

La llave no estaba contaminada antes de conectarse al servidor, de eso estamos seguros, lo que me atrevo a especular es que ya estaba Wine contaminado previamente. Ahora bien, tengo buena amistad con los dueños del café-net y voy a ver si puedo investigar más adelante porque por ahora estoy algo ocupado. 

En cuanto al nombre del virus según la página de Avira tiene varios "alias" para que tengas la siguiente referencia

http://www.avira.com/es/threats/section/fulldetails/id_vir/4874/worm_autoit.x.5.html

Un BOFH aprendiz de todos.
Usa el IRC de Blogdrake coopera con otros usuarios en vivo.



Gravatar de drakedalfa

# 108387 a ver

Para que tu teoria de Wine fuera cierta tu amigo tendria que ejecutar explorer con wine para que funcionase el virus. Wine no esta contaminado, estoy mas que seguro que tu amigo borro el Recycler hace algun tiempo y no lo recuerda. Es una lastima que hayan borrado el directorio podriamos haber visto la fecha de creacion.



Gravatar de Annubis

# 108389 Es el típico gusano de los USBs

Para que un pendrive se infecte con éstos gusanos hay que conectarlo a un sistema Windows infectado. Wine no puede infectar un pendrive de éste modo porque:

1. Es el propio sistema Windows el que infecta cuando se ejecuta el autorun del dispositivo. Éste inyecta un fichero autorun.ini en la raíz del pendrive que apunta a un ejecutable, ubicado en cualquier parte del dispositivo (en éste caso, en la "papelera").

2. Cuando introduces un pendrive en un sistema Linux, no se ejecuta ningún autorun.ini, ya que Linux no funciona así. A no ser que ese sistema esté configurado para que cada vez que se conecte un dispositivo USB, lo monte y llame a Wine para que ejecute el autorun.ini (cosa que descarto, por el poco sentido que tendría).

Por lo tanto, tu amigo conectó ese pendrive a un sistema Windows infectado. No digo que sea su sistema el que está infectado, pero si no lo conectó a ningún otro equipo, revisaría su PC a fondo para comprobar que no está infectado.



Gravatar de waspper

# 108396 +1

Debe haber algun bicho por ahi, bien oculto en el sistema win2.

--
Fernando Andrés Muñoz
Tg. Análisis y desarrollo de Sistemas de Información
Linux user #487547

Which Terminator Character Are You?


Gravatar de MegaLegner

# 108406 Virus

No necesariamente, se tiene que ejecutar algun archivo del tipo autorun.ini, para que se infecte algun dispositivo, los mecanismos de infección con el que se propagan los virus, son multiples, por ejemplo tambien se puede infectar una memoria usb, al copiar o descargar en ella un archivo infectado, algún comprimido infectado, esto puede suceder desde cualquier sistema operativo. En el caso que comentas se nota claramente que el “archivo infectado” notese que no era el virus aislado, si no mas bien un archivo infectado con el virus, habia sido borrado previamente y estaba en la papelera o en el directorio oculto .Trash-1000/files/etc... esa es la unica razón por la que piensas que el virus estaba oculto, precisamente porque fue hallado en el siempre oculto directorio de la papelera, pero en otros casos distintos pudiera también haberse colado en cualquier otro directorio, no oculto. Tambien los virus pueden esconderse intencionalmente en directorios ocultos, se puede crear un directorio llamado .virus y allí alojar cualquier virus, para que no lo veamos en Linux, etc. El hecho es que es poco probable la infección, por medio de algún archivo del tipo autorun.ini, por ejemplo, desde Linux con Wine, esos métodos de propagacion no son muy probables en linux, pero como dije anteriormente tampoco son los únicos.

Por cierto que en la actualidad ya casi nadie en este planeta, esta exento de infectarse y/o servir como agente transmisor, use el tipo de sistema u ordenador que use, con alguna de esas alimañas maltrata maquinas con Windows (afortunadamente), desde que a la gente de Apple se les ocurrió a mediados del 2006 liberar su famoso Boot Camp, que permite, instalar versiones de Windows en computadoras Mac.

Este sujeto que dice ser uno de los primeros en J… una Mac, lo habrá hecho, por curiosidad, morbo, masoquismo o simplemente por sádico, uds que opinan?

First Blue Screen of Death on a Mac (Primer pantallazo azul de la muerte en una Mac)

http://www.cultofmac.com/first-blue-screen-of-death-on-a-mac/312

Saludos!



Gravatar de Mauricio Pacheco

# 108411 Ese virus solo funciona en Windows

ahora bien, es cierto que wine emula a windows. Por lo tanto lo que uno creería es que el virus está en wine, por supuesto que vino de algún lado. Los window$ tienen una gran vulnerabilidad con el auto-arranque de las "usb", he tenido casos en los que los antivirus detectan y eliminan el virus, sin embargo, por la vulnerabilidad del window$, este se pasa al sistema. Desde el 2 de Agosto de este año, sacaron por fin un parche que esta funcionando bastante bien. Resulta que a pesar de tener configurado la actualización automática del sistema, este no baja ese parche, bueno lo digo porque ayer estuve en una universidad y a pesar de tener las computadoras en automático las actualizaciones, este parche no lo tienen instalado. Por lo tanto recomiende a su amigo que lo instale. Este es el enlace: http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

Y que viva!!! linux!!! porque además de estable, los virus de Window$ no le hacen ni cosquillas.

NOTA: Si el window$ se instaló pirateado, lo más probable es que le falten una montaña de parches y así no hay como. Esto también aplicaría para linux, por eso hay que tenerlo al día con todos los parches de seguridad y con los últimos programas.

Mauricio Pacheco M.
Manager Information System
http://www.quantum-ai.tk

Usuario: Mageia2 64 bits
Escritorio: KDE

Registered user #419099
http://linuxcounter.net/



Gravatar de franciscodrake

# 108440 En realidad no he seguido el método científico en rigor

 Necesito más evidencia, así que con cualquier pretexto voy a ver a mis amigos del Café-net y trataré de contaminar una de mis memorias usb. Con más evidencia les comentaré luego. 

 

Un BOFH aprendiz de todos.
Usa el IRC de Blogdrake coopera con otros usuarios en vivo.

Opciones de visualización de comentarios

Seleccione la forma que desee de mostrar los comentarios y haga clic en «Guardar opciones» para activar los cambios.