감염된 모질라, 썬더버드 배포

lefthander의 이미지

Quote:
kav보고에 따르면
위 제목과같이 국내 배급사의 파일이
Virus.Linux.RST.b 에 감염되었다는 보고입니다

mozilla-1.7.6.ko-KR.linux-i686.installer.tar.gz (mozilla-installer-bin)
thunderbird-1.0.2.tar.gz (mozilla-xremote-client)

시간이 소요되었지만 현재는 삭제되었다는 보고까지입니다

국내 배급사라면 아무래도 www.mozilla.or.kr을 말하는 것 같은데 혹 문제가 있을 수 있으니 주의하시기 바랍니다.

http://akap.mireene.com/rgboard/view.php?&bbs_id=ilban&page=&doc_num=626
http://www.viruslist.com/en/weblog

channy의 이미지

바이러스가 감염된 리눅스 서버(mozilla.or.kr)에서 Packaging한 것이 모질라 공식 서버로 전달되어 생긴일입니다. 이 문제를 미리 알로 이미 모든 파일이 삭제된 상태입니다. 다만, 다운로드하여 설치된 사용자가 있을 수 있기 때문에 공지를 하였습니다.

다음은 Mozilla.org의 공식 보안 권고문입니다.
http://www.mozilla.org/security

Quote:
Security Advisory (September 21, 2005) The Mozilla Foundation is aware of the Linux.RST.b virus that infected Linux Korean contributed versions of Mozilla Suite 1.7.6 and Thunderbird 1.0.2, as reported by Kaspersky Lab. No versions of Mozilla Firefox were infected. Infected files have been removed from the Mozilla ftp mirror network as of September 17.

Mozilla recommends to our Korean users who have downloaded affected products to run an AntiVirus product on their machine to scan for the Linux.RST.b virus and delete infected files. Further information about the Linux.RST.b virus can be found here: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=99978

Mozilla 1.7.6, Thunderbird 1.0.2 한국어 버전을 설치하셨던 분들은 바이러스 감염 여부를 면밀히 조사해 주셔야 할 것 같네요. 죄송합니다.

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

나는오리의 이미지

추석연휴를 이용해서 FF와 TB를 설치했는데 OTL

TB 1.0.2의 감염본은 언제 삭제되었습니까?
정확한 날짜를 알 수 없을까요?
제가 받은 시기가 애매모호하군요.

이거 백신을 설치를 해야할지 말아야할지...
(제가 백신설치를 좀 싫어합니다.)

channy의 이미지

욕심많은오리 wrote:
추석연휴를 이용해서 FF와 TB를 설치했는데 OTL

TB 1.0.2의 감염본은 언제 삭제되었습니까?
정확한 날짜를 알 수 없을까요?
제가 받은 시기가 애매모호하군요.

1.0.2를 받으셨나요? 지금은 1.0.6이 공식적으로 배포되고 있습니다.
예전에 받으신 적이 있다면 바이러스 확인 부탁 드립니다.

이 바이러스에 대한 정보는 아래에서 확인하실 수 있습니다.
http://securityresponse.symantec.com/avcenter/venc/data/linux.rst.b.html

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

channy의 이미지

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

jachin의 이미지

슬래시 닷에서까지 말이 나올 정도가 되어버렸군요. -_-;

이거 잘 하면 전자신문이나 주간지에서도 말이 나올듯 하네요.

TB 1.0.2 받아서 설치한 사람이 있으려나. -_-;

나는오리의 이미지

다행히도 전 설치한 TB가 1.0.6이었습니다.

yuni의 이미지

논외이기는 한데요.
리눅스에도 활동하는 바이러스가 있긴 있는 모양이군요.
백신을 고려해야 하는 건가요?
지금까지 저는 바이러스 프리~~~ 박스라고 항상 자랑하고 다녔습니다. ^^:;;;;;;

뭘 어떻게 해야 되는건지......

==========================
부양가족은 많은데, 시절은 왜 이리 꿀꿀할까요?
=====================
"지금하는 일을 꼭 완수하자."

buffmail의 이미지

yuni wrote:
논외이기는 한데요.
리눅스에도 활동하는 바이러스가 있긴 있는 모양이군요.
백신을 고려해야 하는 건가요?
지금까지 저는 바이러스 프리~~~ 박스라고 항상 자랑하고 다녔습니다. ^^:;;;;;;

뭘 어떻게 해야 되는건지......

슬래쉬닷 보니, 현재폴더, /bin 의 실행파일을 감염시키고
백도어를 설치한다네요..

직접 컴파일해서 ~/bin 에 설치해서 쓰는 파일 말고는 거의 감염
안 되지 않을까요.. 보통 일반 유저로 쓰는 특성상, 배포판
설치해서 쓰는 사용자는 아마 권한 때문에 /bin, /usr/bin 같은
파일들은 감염도 못 시킬 것 같은데..

그래도 백도어는 무섭군요.. :? :?

송효진의 이미지

path 가 걸려 있으면서 w 권한이 있는 디렉토리가 있다면,
공격자는 오타를 노릴수가 있습니다.
제가 자주 오타치는게
ls 를 l 만치고 엔터 후 s...
ps aux 를 psa ux 로 띄어쓰기를 나중에...

하도 막치다보니 순서가 자주 틀립니다.

l 이나 psa 같은 이름으로 스크립트 하나 만들어서 몰래 숨겨놓으면... :roll:
덜덜덜...

voljin의 이미지

buff wrote:
yuni wrote:
논외이기는 한데요.
리눅스에도 활동하는 바이러스가 있긴 있는 모양이군요.
백신을 고려해야 하는 건가요?
지금까지 저는 바이러스 프리~~~ 박스라고 항상 자랑하고 다녔습니다. ^^:;;;;;;

뭘 어떻게 해야 되는건지......

슬래쉬닷 보니, 현재폴더, /bin 의 실행파일을 감염시키고
백도어를 설치한다네요..

직접 컴파일해서 ~/bin 에 설치해서 쓰는 파일 말고는 거의 감염
안 되지 않을까요.. 보통 일반 유저로 쓰는 특성상, 배포판
설치해서 쓰는 사용자는 아마 권한 때문에 /bin, /usr/bin 같은
파일들은 감염도 못 시킬 것 같은데..

그래도 백도어는 무섭군요.. :? :?

유저 권한만 쓰는 이용자는...중요한 데이터를 전부 유저 권한으로 기록했기 때문에 당하고...
루트를 같이 쓰는 이용자는...말할 것도 없죠.
때문에 공유PC나 키오스크 머신이 아닌 데스크탑이라면 유저나 루트, 어디를 뚫렸건 위험도는 비슷하다고 봐야합니다.

..음 그리고 생각해보니 모질라랑 썬더버드 인스톨 할 때 root 권한으로 해야하지 않던가요?

wkpark의 이미지

어떠한 경로로 패키징 된것이 감염된건지 그게 더 궁금하군요.

그리고, 1.0.2라면 꽤 지난 버전인데, 이게 왜 지금 이슈화 되는지 이상 ㅡㅡ;;

온갖 참된 삶은 만남이다 --Martin Buber

jedi의 이미지

GENTOO는 이런 경우가 희박하겠군요... 이런 장점이.....

자신의 시스템에서 빌드하니까..... 소스차원에서 문제가 생기기 전까지는....

한글판 빌드에 문제가 생긴 사건이군요.

오래전부터 clamav를 설치했는데 사용은 안해봐서....

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년

paero3의 이미지

꼭 그것 때문인지 정확하지는 않지만 그 때 썬더버드 1.0.2 문제가 발생한 뒤로 리눅스가 부팅 불능의 혼수상태로 갔습니다.

그때 제가 쓴 글이 아래에 있습니다. 아무도 답글은 안달았지만...
http://forums.mozilla.or.kr/viewtopic.php?t=3348&highlight=

그 뒤에 <한글 모질라 프로젝트> 누리집이 크래킹 당한 일이 있었던 것 같은데... 그 뒤로 조심하고 있습니다.

대한독립만세~~~

channy의 이미지

wkpark wrote:
어떠한 경로로 패키징 된것이 감염된건지 그게 더 궁금하군요.

그리고, 1.0.2라면 꽤 지난 버전인데, 이게 왜 지금 이슈화 되는지 이상 ㅡㅡ;;

그 버전들을 패키징 했던 mozilla.or.kr 이 PHP 취약성 공격에 의해 백도어가 숨겨져 있었던 것으로 판단됩니다. 데스크탑으로 쓰지 않고 웹 서버용으로 쓰기 때문에 특별히 바이러스 점검은 하지 않고 있었습니다. 리눅스 백도어가 예상되는 징후가 없었기 때문에 안심하고 넘어간 것 같습니다. 지난번 웹사이트 해킹 후에 한번 점검해 봤어야 했는데...

어쨌든 그 빌드들이 mozilla.org에 전달이 되어 FTP로 올라갔고 최근 어떤 보안 업체가 그 빌드들을 풀어 바이러스 검사를 하던 중 발견된 것입니다.

아직 모질라 및 썬더버드 다국어 버전은 모질라 재단에서 직접 빌드하고 있지 않습니다.

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

channy의 이미지

paero3 wrote:
꼭 그것 때문인지 정확하지는 않지만 그 때 썬더버드 1.0.2 문제가 발생한 뒤로 리눅스가 부팅 불능의 혼수상태로 갔습니다.

그때 제가 쓴 글이 아래에 있습니다. 아무도 답글은 안달았지만...
http://forums.mozilla.or.kr/viewtopic.php?t=3348&highlight=

그 뒤에 <한글 모질라 프로젝트> 누리집이 크래킹 당한 일이 있었던 것 같은데... 그 뒤로 조심하고 있습니다.

이걸 왜 못 봤더랬지? ㅎ

Channy Yun

Mozilla Korean Project
http://www.mozilla.or.kr

김정균의 이미지

channy wrote:
slashdot 까지.. 미치겠네..
http://linux.slashdot.org/article.pl?sid=05/09/21/1252213&from=rss

흠. 댓글들이 재미있군요.

Quote:

The Mozilla foundation needs to pursue strong, immediate public action against NKing.com, holders of the mozilla.co.kr domain. Using the Mozilla name connotes official status, and they are trashing it badly. I would say stop releasing Korean builds until the domain is handed over to more responsible people.

와 같은 언급이 나오더니 갑자기 이글에 대한 댓글로..

Quote:

I suggest that the Mozilla foundation registers mozilla.co.kp instead and continues to release official binaries only there. I knew these two Koreas had to be good for something ;)

가 나오는 군요. :-) co.kp 라 ^^;

철지난 얘기들을 가지고 하는 반응들이 상당히 강렬하네요.

dgkim의 이미지

제 시스템을 망가뜨렸던...

http://bbs.kldp.org/viewtopic.php?t=59964

(사실 확인작업 들어감.. 파일비교..)

ps. 간만에 리눅스에서 ThunderBird설치하려다, 때려치운..

나는오리의 이미지

co.kp를 쓰게되면 그날부로 누군가가 뒤에서 항상 지켜보지 않을까요? ㅡ.,ㅡ;

warpdory의 이미지

co.kp 등록업체(?)는 북한에 있을 텐데...

그쪽에서 등록시켜줄까요 ?


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

dgkim의 이미지

ftp> ls
227 Entering Passive Mode (207,200,66,54,115,183)
150 Here comes the directory listing.
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 cs-CZ
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 da-DK
drwxr-sr-x    2 ftp      ftp          4096 Mar 31 19:43 de-DE
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 el-GR
drwxr-sr-x    2 ftp      ftp          4096 Mar 20  2005 en-US
drwxr-sr-x    2 ftp      ftp          4096 Mar 30 04:51 es-AR
drwxr-sr-x    2 ftp      ftp          4096 May 23 05:08 es-ES
drwxr-sr-x    2 ftp      ftp          4096 Mar 31 19:43 fr-FR
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 hu-HU
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 it-IT
drwxr-sr-x    2 ftp      ftp          4096 Mar 30 04:51 ja-JP
drwxr-sr-x    2 ftp      ftp          4096 Sep 17 01:32 ko-KR
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 nb-NO
drwxr-sr-x    2 ftp      ftp          4096 May 23 05:08 nl-NL
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 pa-IN
drwxr-sr-x    2 ftp      ftp          4096 Mar 31 19:43 pl-PL
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 pt-BR
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 ru-RU
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 sv-SE
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:18 tr-TR
drwxr-sr-x    2 ftp      ftp          4096 May 10 20:13 xpi
drwxr-sr-x    2 ftp      ftp          4096 May 23 05:08 zh-CN
226 Directory send OK.
ftp> cd ko-KR
250 Directory successfully changed.
ftp> dir
227 Entering Passive Mode (207,200,66,54,198,32)
150 Here comes the directory listing.
-rw-r--r--    1 ftp      ftp           189 May 10 20:18 thunderbird-1.0.2.tar.gz.asc
226 Directory send OK.
ftp> 

[dgkim@think1 Mozilla ThunderBird]$ ls -al
합계 10288
drwxr-xr-x   3 dgkim dgkim     4096  7월 17 20:11 .
drwxr-xr-x  29 dgkim dgkim     4096  9월 20 17:27 ..
drwxr-xr-x  10  2000 dgkim     4096  3월 27 00:00 thunderbird
-rw-rw-r--   1 dgkim dgkim 10503799  7월 17 20:09 thunderbird-1.0.2.tar.gz
[dgkim@think1 Mozilla ThunderBird]$ md5sum thunderbird-1.0.2.tar.gz
c627377d4c55cdf1bb40b419ea0205b6  thunderbird-1.0.2.tar.gz
[dgkim@think1 Mozilla ThunderBird]$
danskesb의 이미지

Quote:

I suggest that the Mozilla foundation registers mozilla.co.kp instead and continues to release official binaries only there. I knew these two Koreas had to be good for something ;)

김정일이 관리하는 북한이라면 소스 수정해서 북한에 관한 찬양 등을 많이 집어넣을 지도 모릅니다. 이를테면 About을 열였는데 조선민주주의 인민공화국 만세!가 뜬다든가...

그러나 개성공단의 남한 업체 안에서는 괜찮을지도 모르죠 :P

jedi의 이미지

peremen wrote:
Quote:

I suggest that the Mozilla foundation registers mozilla.co.kp instead and continues to release official binaries only there. I knew these two Koreas had to be good for something ;)

김정일이 관리하는 북한이라면 소스 수정해서 북한에 관한 찬양 등을 많이 집어넣을 지도 모릅니다. 이를테면 About을 열였는데 조선민주주의 인민공화국 만세!가 뜬다든가...

그러나 개성공단의 남한 업체 안에서는 괜찮을지도 모르죠 :P


그런 문구를 넣는 것이 문제가 될까요??? 대한민국 만세!!라고 넣어도 문제가 된다고 생각을 안해봐서 모르겠군요.

+++ 여기부터는 서명입니다. +++
국가 기구의 존속을 위한 최소한의 세금만을 내고, 전체 인민들이 균등한 삶을
영위할 수 있는 착취가 없는 혁명의 그날은 언제나 올 것인가!
-- 조정래, <태백산맥> 중에서, 1986년