Новое вредоносное ПО для Linux совмещает в себе функционал как бэкдора, так и трояна

image

Теги: троян, бэкдор, Linux

В июне нынешнего года эксперты из «Доктор Веб» обнаружили новое семейство троянов для 32-разрядных дистрибутивов Linux - Linux.BackDoor.Gates.

Несмотря на бытующее среди пользователей мнение, что для платформ на базе ядра Linux не существует опасных угроз, эксперты из «Доктор Веб» уверяют, что это не так. Они сообщили, что в мае нынешнего года ими обнаружено рекордное, по сравнению с предыдущими месяцами, количество вредоносного ПО для Linux.

По словам экспертов, в июне они зафиксировали новое семейство троянов для 32-разрядных дистрибутивов этой платформы, получившее название Linux.BackDoor.Gates. Отличительной чертой вредоносов является то, что они совмещают в себе функционал как бэкдоров, так и троянов, использующихся для DDoS-атак.

В «Доктор Веб» считают, что авторами нового семейства являются создатели Linux.DnsAmp и Linux.DDoS. Троян Linux.BackDoor.Gates.5 состоит из двух функциональных модулей. Основной модуль представляет собой бэкдор, который выполняет поступающие от злоумышленников команды. В процессе установки он также сохраняет на диск второй модуль, предназначенный для осуществления DDoS-атак.

Linux.BackDoor.Gates.5 способен собирать и передавать киберпреступникам такую информацию о зараженном компьютере, как количество ядер, скорость и использование CPU; IP и MAC-адрес Gate; данные о сетевых интерфейсах; MAC-адрес сетевого устройства; объем памяти, а также переданных и полученных данных; название и версия ОС. Вредоносное ПО реализовывает одну из четырех возможных моделей поведения в зависимости от пути к папке, из которой он был запущен.

Подробнее ознакомиться с отчетом экспертов из «Доктор Веб» можно здесь.     


или введите имя

CAPTCHA
$$
06-06-2014 12:57:12
Каким-же дураком надо быть чтоб под рутом его инсталировать в систему ?
1.2658 |
06-06-2014 13:28:44
Почитал более детальное описание... на словах "записывая строку #!/bin/bash\n в файл /etc/init.d/" начал биться в истерике.
0 |
anonym
07-06-2014 00:05:40
в истерике пропустил путь к бэкдору? "записывая строку #!/bin/bash\n в файл /etc/init.d"
0 |
09-06-2014 10:07:42
1) init.d не файл 2) кто ж его туда не рутом пустит, сразу по рука линейкой ну или gksu
0 |
FFFF
12-06-2014 07:38:44
когда ты компилишь софтину тебе нужен рут для инсталла, так, чтоне нанадо тут ля ля. вшить в исходники файла какие нибуть полу программы не так уж и сложно!
0 |
Anonymous
06-06-2014 15:47:33
Его тоже надо самому скомпилировать и запустить под рутом? =)
0 |
06-06-2014 16:31:37
Зачем рут? Трояны под линукс успешно живут где нибудь в home или tmp и запускаются через юзерский cron файл, который для создания не требует рута. Т.е. вполне достаточно либо дырявого php движка на вебсервере этого линукса (если это сервер), либо домохозяйки, которая ткнет письмо с "нажмите чтобы получить приз", либо дырявого браузера и эксплоита на одноклассниках/etc.
0 |
expert
06-06-2014 17:59:03
-o noexec /home в помощь
0 |
А кто-то так не делает? Или держит /home в корне?
0 |
123
09-06-2014 09:32:20
А какая разница где лежит /home или /tmp? Или любая другая папка с правами юзера на создание файлов? Это никак не влияет на права записи. Спасет только полный запрет писать на диск в принципе, но кому такое надо?
0 |
09-06-2014 09:35:24
-o noexec спасет от запуска bash/sh скрипта через крон? По моему нет, как и случай запуска .sh файла через команду "sh filename.sh" (который запуститься даже если на файл не сделан +x). А скрипты в линуксе очень развиты и позволяют очень многое. Да и много ли домохозяек будут делать этот -o noexec? Если даже среднестатические админы не факт что будут заморачиваться. Лично видел веб сервер на suse, где через дыру в php движке был залит комплект sh/perl скриптов в /tmp, прописан в крон от юзера nobody и все это успещно работало от nobody и ддосило кого то в инете. Причем в комлект входили не только модули ddos, но и модули обновления и получения команд.
0 |
09-06-2014 10:17:10
Ну тут уже от сайта зависит (дырка-то явно в нём была). Сам такое видел: сайт наваяли на пхп вод виндой, в 13м году залили на сервак под АСПом (который уже и не поддерживается), на все файлы было прописано root:root 777 и полное отсутствие хотя бы denyhosts-а и "php_admin_value open_basedir". В итоге два шелла от разных "товарищей" и грохнутый раздел на винте.
0 |
09-06-2014 10:21:26
ну так я и говорю, будет вместо сайта письмо домохозяйке "вы выиграли приз, нажмите сюда", и вот троян уже сидит.
0 |
09-06-2014 11:18:13
Её ещё пароль попросят ввести. А тут уже инструктаж - у меня даже жена (кстати, блондинка) считает, что нечего соглашаться на всё что просят.... правда после случая с смс-вирей у подруги (-10к за два дня).
0 |
09-06-2014 11:21:35
Пароль рута она может и не знать (комп настраивал муж, если дома, или админ, если на работе). Я к тому, что права рута в линуксе для инсталяции и работы троянца совсем не обязательны, хотя почему то распространено мнение, что без пароля троян не страшен.
0 |
09-06-2014 11:23:19
Пароль рута она может и не знать (комп настраивал муж, если дома, или админ, если на работе). Я к тому, что права рута в линуксе для инсталяции и работы троянца совсем не обязательны, хотя почему то распространено мнение, что без ввода пароля рута троян не страшен. И уж тем более не надо ничего компилить. Скрипты bash/sh/perl решают 90% задач.
0 |
09-06-2014 11:41:14
В плане скрипта - не спорю (про питон вообще молчу). Задачу составляет исключительно доступ к системе с правами рута и соответственный автозапуск: а тут потребуется и набор эксплоитов, и модификация данных графической сессии и/или модификация ярлыков.
0 |
09-06-2014 11:43:09
Зачем права рута? Автозапуск будет осуществлен через юзерский крон. Файлы скриптов положены в любую папку, где у юзера есть права на запись. +x не нужен при запуске скриптов через крон или методом sh sriptname.sh
0 |
09-06-2014 13:18:27
/var/spool/cron/crontab ? ну да... запретить нафик
0 |
09-06-2014 13:26:15
хотя... crontab -e работает только в интерактивном режиме, а даже с настройками по-умолчанию echo в пользовательcкий cron запрещено... так что, воспроизведение работы терминала, что возможно, но довольно нудно
0 |
09-06-2014 13:46:01
мда, всё-таки запрещать... ибо, как выяснилось, echo 'текст'|crontab вполне работоспособно... решение: sudo touch /etc/cron.allow
0 |
09-06-2014 20:23:04
Да, я знаю, что доп. усилиями в линуксе можно закрутить гайки по самое не хочу. Но! В винде их можно закрутить тоже очень серьезно (видел такую закрученную winxp в банкоматах - так все выкручено, что иногда кажется, что это какая то другая винда). Но речь про систему из коробки, которой гайки под hisec не закручивали. И вот в таком линуксе права рута не нужны для внедрения троянца.
0 |
10-06-2014 10:01:26
Что ж, согласен полностью и безоговорочно... Правда, безотносительно к данному варианту "вируса". А лучший антивирус для десктоп системы всегда в голове... И кто бы там что ни говорил - в линуксе "из коробки" такую защиту использовать на порядок проще (во всяком случае с учётом текущей обстановки в области малварестроения).
0 |
10-06-2014 10:07:37
Без антивируса в голове срабатывает и такое (на чистом баше): http://pastebin.com/raw.php?i=XttZNGMR
0 |
Денис
09-06-2014 13:16:58
XOR тебе не воротник - в линуксах исполняемые файлы из браузера на запускаются, а только сохраняются в домашний каталог.
0 |
09-06-2014 20:25:56
А потом немного модификации через нечто аналогичное crontab -e (с правами юзера) и вуаля - файлик из хоум уже запустился. А если в браузере дыра на удаленное исполнение кода, тут дела еще лучше.
0 |
##
07-06-2014 10:17:52
И этой лажей DrWeb пытается оправдать необходимость установки антивируса под Линукс?! Хоть бы что-то более реальное написали, а не "скачать и запустить". Наверное надо еще SElinux отключить. Лучше бы написали, что появляется у раньше: сигнатура в базе или обновление для дырявого ПО. И много ли вообще вирусов, использующих дыры ПО под линуксом.
0 |
serj
09-06-2014 09:06:02
Вы не дочитали самое главное: Данная вредоносная программа внесена в вирусные базы Dr.Web и потому не представляет опасности для пользователей наших антивирусных продуктов
0 |
noname
07-06-2014 11:58:52
Gates, Bill Gates
0 |
Серёга
09-06-2014 10:55:05
Прикол в том, что запущенное из хомяка работает только в течение одной сессии. То есть при перезагрузке вирус отключится. Не будет же юзер каждый раз тыкать на один и тот же файл. Просто всякие ушлые людишки вроде каспера и этих товарищей хотят и на этой аудитории срубить бабок.
0.8200 |
RomanS
09-06-2014 13:34:37
~/.config/autostart ~/.bashrc
0 |
09-06-2014 15:14:22
а ежели башем кто не пользуется?
0 |
09-06-2014 20:27:04
В 100500 раз повторяю - юзерский крон. Я лично именно такой вариант и видел на сусе серваке. Не требует прав рута.
0 |