POZOR: Účinné a neviditeľné Linux trojan malware pre špionáž
Veľmi účinné a neviditeľné Linux trojan malware pre špionáž bolo objavené na internete, píše arstechnica.com.
Nedá sa odhaliť cez príkaz netstat. Tento trojan, napadajúci vládne a high-tec servere bol zistený ruskou spoločnosťou Kaspersky Lab, ktorá tvrdí aj to, že môže byť iba predzvesťou sveta veľkého počtu takto napadnutých linuxových serverov.
Administrátori by si mali otestovať svoju serverovú odchádzajúcu prevádzku cez pripojenie na špeciálny server news-bbc.podzone[.]org, alebo (prípadne) vytvoriť podpis cez nástroj YARA (detekcia reťazcov "TREX_PID=%u" a "Remote VS is empty !").
Admini si pozrú aj diskusiu na serveri news.ycombinator.com.
Pre pridávanie komentárov sa musíte prihlásiť.
Vyžaduje to nejakú akciu na bežných užívateľských ntb/PC ?
Toto trojan malware môže ukryté "spať" na serveri aj niekoľko rokov a viac. Aktivuje sa, keď mu príde špeciálny packet s "magickými číslami".
Môžeš skúsiť na stroji zadať:
grep -R -e 'TREX_PID=%u' -e 'Remote VS is empty !' /
Ak sa nemýlim, tak v originály je to inak.
"V prípade, že zistíte na svojom stroji spojenie na news-bbc.podzone.org alebo 80.248.65.183 ...". Takže nikde sa nepripájajte. Skôr naopak, existujúce spojenie na news-bbc.podzone zrušte.
Nie som expert, ale určite dokážem pochopiť vysvetlenie, ako sa dokáže skryť v linuxe (že vraj stealth) nejaky malware. V zozname procesov nie je, cez inetd sa nespúšťa, napriek tomu reaguje na špeciálny reťazec poslaný po sieti. Hotový démon. :-) So súčasnými znalosťami by som povedal, že niekto (Kaspersky Lab?) si z nás robí žarty, ale rád sa dám poučiť.
Takže, kde sa ten malware skrýva? Odpoveď na HDD neberiem ako dostačujúcu. Na HDD môžem mať bezpečne ustajnených aj milión vírusov a nič PC nehrozí.