Les virus Wine ne fonctionnent-ils que lorsque Wine est en cours d'exécution?

42

J'ai entendu dire que Wine pouvait transmettre des virus via Wine, et j'étais curieux de savoir si les virus ne fonctionnaient que lorsque Wine fonctionnait.

En d'autres termes, est-ce que je peux empêcher un virus de faire son travail en arrêtant Wine?

wine malware Louis Jovanovich
la source
Tout peut arriver. J'ai même remarqué un virus du vin qui empêchait le lancement du gestionnaire de tâches Linux. Il est possible qu'un virus Wine accède à votre session de connexion et se réécrit, par exemple, un script bash se plaçant lui-même dans les processus de démarrage.
Kenn
Si vous trouvez qu’une de ces réponses répond à votre question, veuillez en accepter une en tant que telle. La coche, à côté de la réponse.
blade19899

Réponses:

50

Les virus Wine ne fonctionnent-ils que lorsque Wine est en cours d'exécution?

Oui, si elle est trojan, rootkit, wormprogramme spécialement conçu pour infecter machine Windows.

(Le virus du vin est déjà passé.)

est-ce que je peux empêcher un virus de faire son travail en quittant Wine?

Oui et non.

Oui

Si c'est un virus Windows, détruisez l'environnement Windows (Wine) et vous n'aurez pas de jambe sur laquelle vous appuyer. Le virus est toujours installé, mais il ne fait aucun mal. Si vous supprimez du vin - à ma connaissance - il supprime simplement ses fichiers binaires. Réinstaller Wine ultérieurement montrera que les applications sont toujours installées.

Enlever ~/.winecomplètement le dossier donnera cependant un sentiment de sécurité. Notez que s'il ne se copie pas lui-même ailleurs que dans le ~/.winedossier. Dans ce cas, vous avez un fichier binaire Windows quelque part qui peut éventuellement endommager votre système.

Non

Si le virus cible Linux avec l'environnement Wine. Bien que la chance pour vous de contracter spécifiquement ce virus rare soit plutôt mince, je vous invite néanmoins à lire un article de la communauté viticole sur la sécurisation du vin .

Si rare que le virus puisse être, il est toujours conseillé de sécuriser Wine autant que possible. Surtout si vous êtes du côté des affaires.

PlayOnLinux est mon interface graphique préférée pour Wine. Vous avez ainsi plus de contrôle sur votre environnement Wine et vous disposez d'un environnement distinct par application. Ainsi, si vous êtes infecté par l’utilisation de Safari, utilisez les options de configuration pour examiner et / ou restaurer, ou supprimez simplement le Safarivolume entier .

PlayOnLinux - Configuration Extrait de l'image ici: PlayOnLinux a expliqué: Configuration de Wine | GamersOnLinux

Note :

C'est une petite chance, mais même après avoir sécurisé vin, vous pouvez toujours être infecté par un virus ou même par des virus spécialement conçus pour hack/ infectLinux via wine. Juste pour des raisons de sécurité, j'ai installé Malwarebytes et SuperAntiSpyware . Notez également que le explorer.exelogiciel personnalisé - ou tout autre logiciel œnologique - créé par l'équipe viticole, peut être considéré comme malveillant par le logiciel de sécurité susmentionné.

IMHO: PlayOnLinux est une alternative plus sûre, car vous avez plus de contrôle sur le vin, avec les outils de configuration. Lors de l'installation uniquement wine, installe un environnement Windows sur votre système Linux sans aucun moyen de le surveiller.

PlayOnLinux n'a pas besoin de vin pré-installé. Il crée un préfixe de vin (un environnement de travail séparé) avec du vin. Ensuite, il installera le logiciel dans le préfixe Wine séparé. Cela signifie que le logiciel ne peut pas accéder à d'autres environnements. Cela rend donc plus difficile l'infection d'autres parties du logiciel Windows installé dans un préfixe Wine différent.

Lectures complémentaires :

lame19899
la source
Si le virus a été spécialement créé pour infecter Linux via Wine, vous n’êtes que moins vulnérable lors de l’utilisation de Playonlinux. Les antivirus sont également importants, mais ils protègent principalement contre les virus courants. Si quelqu'un écrivait un virus attaquant Linux par le biais du vin, les antivirus ne commenceraient à le détecter qu'après un certain temps (ou jamais).
user31389
il ne faut pas qu'il soit extrêmement difficile de créer un virus qui utilise WINE afin d'infecter un hôte Linux avec du code spécifique à Linux. Cela ne serait possible que si PE-binary ou windows-script dispose de la charge utile ELF. L'exécution de cette fonction n'est pas non plus facile ... car un tel virus aurait besoin d'être assez complexe, on peut donc supposer qu'une telle infection est extrêmement grave. peu probable - ces types de vecteurs d’attaque sont spécifiques, créés par des pirates informatiques rémunérés - et ces personnes utiliseront probablement différentes méthodes d’intrusion, qui sont toutes beaucoup plus simples.
Spécializt
25

Peut être. Il n'y a pas de réponse courte à cela.

Je commencerai par dire que votre introduction donne l’impression que vous pensez que Linux ne peut pas attraper de virus (et / ou de logiciels malveillants). C’est peut-être juste ma conclusion, mais il est important de noter que les logiciels malveillants ne sont que des logiciels et que vous pouvez exécuter de mauvais logiciels sur Ubuntu aussi facilement que sur Windows, à condition qu’il soit compatible. Linux n'est pas invulnérable .

En ce qui concerne les logiciels malveillants exécutés sous Wine, s’il s’agissait littéralement d’une application active (comme un RAT de Troie), l’arrêt de Wine ( wineserver -kpour être sûr) l’empêcherait de s’exécuter.

Cependant ... Il est comiquement facile de détecter si l'environnement est Wine . Il y a peu de sandboxing entre Wine et Ubuntu par défaut, ce qui permet aux logiciels malveillants de détecter un environnement Wine, puis de faire à peu près tout ce que vous pouvez faire pour votre système Ubuntu. Cela comprend l’exécution de commandes natives, l’interfaçage avec les systèmes Ubuntu, les opérations d’exploitation des privilèges locaux standard, le téléchargement de programmes malveillants natifs et la création de scripts dans des mécanismes de démarrage automatique (~/.config/autostart/et autres)basés sur l’utilisateurpour se recharger après le redémarrage.

Est-ce probable? Je ne sais pas. La plupart des programmes malveillants Windows ne chercheront sans doute pas à identifier les environnements Wine, mais ce n’est que mon intuition. Je ne sais absolument pas si un tel malware existe, mais dans les deux cas, avec la popularité croissante de Linux, OSX et Wine, je doute qu'il faudra longtemps avant que de nombreux auteurs de programmes malveillants analysent leur environnement. Nous ne parlons que de quelques lignes de code pour une infection bien meilleure.

Oli
la source
9

Je pense que les réponses ci-dessus répondent bien à la question, mais je voudrais également ajouter que le fait de lancer un virus dans Wine ne bloquera pas les virus qui accèdent / modifient / suppriment des fichiers sur le système.

Par exemple, le redoutable CryptoLocker ransomware chiffrera tous vos documents, puis exigera un paiement pour les déchiffrer. Le virus pouvait toujours accéder facilement au lecteur Z: \ et chiffrer tous vos fichiers. (En fait, il n’aurait même pas besoin de le faire; dans le lecteur virtuel C: \ de wine, les dossiers Bureau, Documents, Téléchargements, Mes images, Ma musique et Mes vidéos sont liés de manière symétrique aux dossiers de votre répertoire personnel.) Activé Windows, CryptoLocker est même connu pour crypter les fichiers Google Drive si l’application de bureau Google Drive est installée.

(Heureusement, si vous étiez infecté par CryptoLocker et que c'était le virus d'origine CryptoLocker, et non l'un des nombreux clones, vous pouvez maintenant déchiffrer vos fichiers gratuitement.)

Hitechcomputergeek
la source
1
Bonjour - Je pense que votre commentaire ajoute des détails importants à la réponse. Vous pouvez fixer votre lien Wikipedia, mais - voici un qui fonctionne: en.wikipedia.org/wiki/CryptoLocker Vous pouvez également re-mot votre dernière déclaration à dire entre parenthèses « si vous étiez affecté par le cryptolocker original, "parce que l’outil de décryptage publié ne fonctionnera que sur les clés d’origine, pas sur un" clone "ultérieur.
Tommy Trussell