V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
mason961125
V2EX  ›  Linux

Wncry 成功在 Linux 上通过 Wine 感染本地文件

  •  
  •   mason961125 · 2017-05-15 09:28:42 +08:00 · 9009 次点击
    这是一个创建于 2768 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2017-05-15 10:01:39 +08:00
    推主只是测试了 Wncry 能否在 Wine 下成功运行,Linux 并没有因为 Samba 的原因感染。
    43 条回复    2017-05-18 00:00:59 +08:00
    gpw1987
        1
    gpw1987  
       2017-05-15 09:45:32 +08:00
    how to solve this problem
    Michaelssss
        2
    Michaelssss  
       2017-05-15 09:46:19 +08:00
    66666666 有意思
    Troevil
        3
    Troevil  
       2017-05-15 09:46:40 +08:00
    uninstall wine (: 滑稽
    YzSama
        4
    YzSama  
       2017-05-15 09:46:40 +08:00 via iPhone
    吓得我立刻把虚拟机关了
    mgna17
        5
    mgna17  
       2017-05-15 09:49:15 +08:00
    把文件系统映射关掉不就好了,只给虚拟环境留个 C 盘。
    Rice
        6
    Rice  
       2017-05-15 09:49:53 +08:00
    linux 喜急而泣
    Tiande
        7
    Tiande  
       2017-05-15 09:53:32 +08:00 via Android
    所以 mac os 上也可以通过虚拟机感染共享盘的文件吧。 太凄惨了
    NMzzzZ
        8
    NMzzzZ  
       2017-05-15 09:55:28 +08:00
    可怜
    mason961125
        9
    mason961125  
    OP
       2017-05-15 09:56:12 +08:00   ❤️ 2
    @YzSama
    @Tiande
    这个推主似乎只是在 Linux 上用 Wine 跑了样本,并不是通过 Samba 感染的。
    johnny23
        10
    johnny23  
       2017-05-15 09:57:47 +08:00 via iPhone
    这个感染无非就是修改 pe 文件而已..wine 提供了程序基本需要的 windows api 根据 api 找到可执行文件修改 pe 数据..跟 wannacry 的端口攻击是两回事
    mason961125
        11
    mason961125  
    OP
       2017-05-15 09:59:13 +08:00
    @johnny23 是的,第一次感觉 Wine 还有点用(滑稽
    bearqq
        12
    bearqq  
       2017-05-15 09:59:44 +08:00
    下下病毒双击 exe 然后果然文件被锁了
    要这样算中毒的话,我只能说和 linux mac win reactos 都没关系
    bukip
        13
    bukip  
       2017-05-15 10:12:33 +08:00
    如果不是执行的话是不是有人又要说 wine 兼容性不好,

    "在其它 windows 机器上能执行的程序,在 wine 居然执行不了?兼容性太差了!"
    hjc4869
        14
    hjc4869  
       2017-05-15 10:19:47 +08:00
    @mgna17 如果有针对 Linux 的设计,这样做没用。IO 直接走系统调用,不通过 wine 的映射都是可行的。
    mgna17
        15
    mgna17  
       2017-05-15 10:26:30 +08:00
    @hjc4869
    抱歉,可能我跑题了。但是,如果是针对 Linux 设计的,那么为什么还要做成.exe 给 wine 运行呢。。。
    毕竟有 wine 需求的 Linux 机主少得很啊。而且,这部分用户身上多半是无利可图的。
    jason19659
        16
    jason19659  
       2017-05-15 10:26:52 +08:00
    这种勒索病毒很早就有了,这次爆发不是因为微软的漏洞吗
    gongbaodd
        17
    gongbaodd  
       2017-05-15 10:40:41 +08:00
    你们呐
    bukip
        18
    bukip  
       2017-05-15 10:41:01 +08:00
    @jason19659 是因为微软的漏洞,但这个漏洞以前只掌握在少数人手里。
    levn
        19
    levn  
       2017-05-15 10:44:22 +08:00
    Great News !
    aksoft
        20
    aksoft  
       2017-05-15 10:56:19 +08:00
    没遇到,周边人也没遇到
    qianguozheng
        21
    qianguozheng  
       2017-05-15 11:09:45 +08:00
    最近勒索病毒很流行,什么时候来个我的 Linux 桌面的病毒?
    likuku
        22
    likuku  
       2017-05-15 11:13:46 +08:00
    wine 本就可以直接访问宿主机器本地资源的嘛,没毛病。
    woshixiaohao1982
        23
    woshixiaohao1982  
       2017-05-15 11:23:44 +08:00   ❤️ 3
    @qianguozheng 病毒在考虑使用 GTK 还是 QT 给你画个要挟页面的时候 已经纠结死了
    how2ex
        24
    how2ex  
       2017-05-15 13:39:54 +08:00
    save linux。难道只有苹果没有沦陷了?
    tempdban
        25
    tempdban  
       2017-05-15 15:27:06 +08:00
    @how2ex macos 也有 wine
    aip
        26
    aip  
       2017-05-15 16:19:53 +08:00
    所以,wine 不如 kvm+windows。。。
    wdk23411
        27
    wdk23411  
       2017-05-15 16:22:23 +08:00
    lty1993
        28
    lty1993  
       2017-05-15 17:42:18 +08:00
    把 Wine 的 ROOT 映射 Z 盘功能关了,HOME 目录映射去一个单独目录多好
    lavande
        29
    lavande  
       2017-05-15 19:14:37 +08:00
    在 vbox 里跑了一个古董版本的 XP,设置了一个共享目录,虚拟机里的路径是网上邻居,宿主机是 linux 的一个文件夹,我觉得如果中毒的话,这个文件夹应该会被加密吧,不知道宿主机器除了那个共享的文件夹以外会不会遭殃?
    skylancer
        30
    skylancer  
       2017-05-15 21:47:40 +08:00
    @lavande 我只能说 VMware 曾经存在逃逸漏洞
    visonme
        31
    visonme  
       2017-05-15 21:53:56 +08:00
    多亏了 window 的漏洞,不然勒索病毒也不会这么火的进入大家的视野,前两年就有报到的东西了,如果 linux,mac 也存在同样的漏洞而且是不被大众所知的,相信作者要克隆个也是很容易的 O(∩_∩)O
    FifiLyu
        32
    FifiLyu  
       2017-05-15 22:10:54 +08:00
    @visonme 病毒作者因为兼容各种 Linux 发行版的问题,已经被累死了。233
    whwq2012
        33
    whwq2012  
       2017-05-15 22:12:01 +08:00 via Android
    我也试了,用 crossover 试的,加密了 home 目录下的几个文件夹下的文件。然后就闪退了,连那个勒索的窗口都弹不出。有点小失望啊
    ivmm
        34
    ivmm  
       2017-05-15 22:35:34 +08:00
    如果 NSA 再泄露一个能让 AWS、Azure 虚拟逃逸的漏洞,是不是整个世界都能瘫痪了?
    jeneser
        35
    jeneser  
       2017-05-15 22:44:44 +08:00 via Android
    kmahyyg
        36
    kmahyyg  
       2017-05-15 23:11:39 +08:00 via Android
    这玩意可以感染虚拟机 /wine 外的文件不?
    linux40
        37
    linux40  
       2017-05-16 07:56:24 +08:00 via Android
    chroot 和 jail
    beilun
        38
    beilun  
       2017-05-16 07:58:19 +08:00 via iPhone
    no zuo no die
    gamexg
        39
    gamexg  
       2017-05-16 08:44:38 +08:00 via Android
    @ivmm aws 等安全意识很好,相信会立刻修复,根本无法爆发。
    yinflying
        40
    yinflying  
       2017-05-16 09:29:37 +08:00
    @kmahyyg 囧,wine 又不是虚拟机,只是一个 API 转换器而已,它还能直接调用 linux 程序呢。
    LINAICAI
        41
    LINAICAI  
       2017-05-16 10:21:39 +08:00   ❤️ 1
    注意了这个漏洞很早就有了,主要是旧的 window 停止了补丁更新,NSA 作死的被黑导致网络武器放出来了被利用了。
    微软又想帅锅,NSA 死活不承认。
    kmahyyg
        42
    kmahyyg  
       2017-05-16 12:28:36 +08:00 via Android
    @yinflying omg

    apt-get remove wine
    pagxir
        43
    pagxir  
       2017-05-18 00:00:59 +08:00
    那这个病毒加密片子,然后上传到百度盘上。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   900 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 84ms · UTC 20:55 · PVG 04:55 · LAX 12:55 · JFK 15:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.