O bomb fork também é chamado de vírus wabbit ou rabbit, criado por hackers mal-intencionados para lançar um ataque de negação de serviço no sistema de destino
O vírus se replica e corrompe os recursos do sistema disponíveis. Isso diminui o desempenho do sistema ou às vezes pode causar falhas no sistema devido à falta de recursos.
Modo de operação
Esse tipo de vírus funciona de duas maneiras diferentes
Ele funciona de duas maneiras para executar o processo de bifurcação – um usando o tempo de processamento da CPU e também diminuindo o processo do sistema operacional. É um processo infinito em que suas cópias são lançadas repetidamente.
Em um sistema que funciona em um sistema operacional Unix, bomb fork são desenvolvidas para explorar a chamada do sistema fork. Processos bifurcados geralmente são cópias do primeiro programa, uma vez que ele inicia sua execução a partir do novo endereço no ponteiro do quadro, o processo de bifurcação é continuado e produz várias cópias causando crescimento no processo.
Uma fox bomb funciona para gerar um grande número de processos em um período de tempo limitado para preencher o espaço em certos conjuntos de processos destinados ao sistema operacional do computador.
Quando há saturação de processos, não há como iniciar novos programas até que haja o encerramento de outros processos. Mesmo quando não há saturação de espaço, não há chances de um programa genuíno começar, já que a bifurcação reserva o espaço para sua nova cópia e o processo continua como um loop infinito.
O vírus bomb fork não apenas usa o espaço na tabela de processos, mas suas novas cópias usam todo o tempo e memória correspondentes do processador. Isso resulta na desaceleração do sistema e os programas que já existem não respondem e tornam-se desafiadores e quase impossíveis de usar.
Medidas preventivas
As bomb fork só podem ser evitadas quando o usuário limitar o número de processos que ele possui. Isso pode ser feito das seguintes formas
Implementar o uso do parâmetro ulimit do Unix / Linux para limitar a criação do número de processos pelo usuário
Por exemplo, ulimit = 30 restringe o usuário a criar e possuir apenas 30 processos. No entanto, existe uma restrição, pois o comando é específico para as sessões – o ulimit deve ser redefinido assim que a sessão terminar.
Implemente limites de processos em todo o sistema com o arquivo /etc/security/limits.conf. Esse é o método mais comum, já que facilita para o usuário implantar a configuração em todos os perfis, portanto, funciona bem para reduzir o risco de alterar as configurações de cada perfil do usuário.
Deve-se considerar também que, mesmo quando a configuração limits.conf é feita correta, os hackers são eficientes para obter privilégios administrativos para infectar o sistema com um ataque fork.
Mesmo com os sistemas operacionais mais recentes e avançados, não há um método bem-sucedido para negar completamente a bomb fork. No entanto, a implementação de algumas das práticas recomendadas básicas de segurança, salvaguardando o sistema negando a execução de software suspeito na raiz e, acima de tudo, implementando uma ferramenta eficaz de remoção de vírus pode encerrar a maioria dos ataques com fork.
Fonte: Comodo
Ilustração COMODO
