Últimas notícias

Fique informado

Fork Bomb Vírus

04/12/2018

O bomb fork também é chamado de vírus wabbit ou rabbit, criado por hackers mal-intencionados para lançar um ataque de negação de serviço no sistema de destino

O vírus se replica e corrompe os recursos do sistema disponíveis. Isso diminui o desempenho do sistema ou às vezes pode causar falhas no sistema devido à falta de recursos.

Modo de operação

Esse tipo de vírus funciona de duas maneiras diferentes

Ele funciona de duas maneiras para executar o processo de bifurcação – um usando o tempo de processamento da CPU e também diminuindo o processo do sistema operacional. É um processo infinito em que suas cópias são lançadas repetidamente.

Em um sistema que funciona em um sistema operacional Unix, bomb fork são desenvolvidas para explorar a chamada do sistema fork. Processos bifurcados geralmente são cópias do primeiro programa, uma vez que ele inicia sua execução a partir do novo endereço no ponteiro do quadro, o processo de bifurcação é continuado e produz várias cópias causando crescimento no processo.

Uma fox bomb funciona para gerar um grande número de processos em um período de tempo limitado para preencher o espaço em certos conjuntos de processos destinados ao sistema operacional do computador.

Quando há saturação de processos, não há como iniciar novos programas até que haja o encerramento de outros processos. Mesmo quando não há saturação de espaço, não há chances de um programa genuíno começar, já que a bifurcação reserva o espaço para sua nova cópia e o processo continua como um loop infinito.

O vírus  bomb fork não apenas usa o espaço na tabela de processos, mas suas novas cópias usam todo o tempo e memória correspondentes do processador. Isso resulta na desaceleração do sistema e os programas que já existem não respondem e tornam-se desafiadores e quase impossíveis de usar.
Medidas preventivas

As bomb fork só podem ser evitadas quando o usuário limitar o número de processos que ele possui. Isso pode ser feito das seguintes formas

Implementar o uso do parâmetro ulimit do Unix / Linux para limitar a criação do número de processos pelo usuário

Por exemplo, ulimit = 30 restringe o usuário a criar e possuir apenas 30 processos. No entanto, existe uma restrição, pois o comando é específico para as sessões – o ulimit deve ser redefinido assim que a sessão terminar.

Implemente limites de processos em todo o sistema com o arquivo /etc/security/limits.conf. Esse é o método mais comum, já que facilita para o usuário implantar a configuração em todos os perfis, portanto, funciona bem para reduzir o risco de alterar as configurações de cada perfil do usuário.

Deve-se considerar também que, mesmo quando a configuração limits.conf é feita correta, os hackers são eficientes para obter privilégios administrativos para infectar o sistema com um ataque fork.

Mesmo com os sistemas operacionais mais recentes e avançados, não há um método bem-sucedido para negar completamente a bomb fork. No entanto, a implementação de algumas das práticas recomendadas básicas de segurança, salvaguardando o sistema negando a execução de software suspeito na raiz e, acima de tudo, implementando uma ferramenta eficaz de remoção de vírus pode encerrar a maioria dos ataques com fork.

Fonte: Comodo

Ilustração COMODO