POZOR: Účinné a neviditeľné Linux trojan malware pre špionáž

09.12.2014 | 10:18 | dodoedo | Novinky

Veľmi účinné a neviditeľné Linux trojan malware pre špionáž bolo objavené na internete, píše arstechnica.com.

Nedá sa odhaliť cez príkaz netstat. Tento trojan, napadajúci vládne a high-tec servere bol zistený ruskou spoločnosťou Kaspersky Lab, ktorá tvrdí aj to, že môže byť iba predzvesťou sveta veľkého počtu takto napadnutých linuxových serverov.

Administrátori by si mali otestovať svoju serverovú odchádzajúcu prevádzku cez pripojenie na špeciálny server news-bbc.podzone[.]org, alebo (prípadne) vytvoriť podpis cez nástroj YARA (detekcia reťazcov "TREX_PID=%u" a "Remote VS is empty !").

Admini si pozrú aj diskusiu na serveri news.ycombinator.com.

    • RE: POZOR: Účinné a neviditeľné Linux trojan malware pre špionáž 09.12.2014 | 11:16
      Avatar vxmery Mint 21.3 Cinnamon  Používateľ

      Vyžaduje to nejakú akciu na bežných užívateľských ntb/PC ?

      • RE: POZOR: Účinné a neviditeľné Linux trojan malware pre špionáž 09.12.2014 | 11:27
        Avatar dodoedo Fedora Linux  Používateľ

        Toto trojan malware môže ukryté "spať" na serveri aj niekoľko rokov a viac. Aktivuje sa, keď mu príde špeciálny packet s "magickými číslami".

        Môžeš skúsiť na stroji zadať:

        grep -R -e 'TREX_PID=%u' -e 'Remote VS is empty !' /

        G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
    • RE: POZOR: Účinné a neviditeľné Linux trojan malware pre špionáž 20.01.2015 | 14:42
      Avatar vojto   Používateľ

      "Administrátori by si mali otestovať svoju serverovú odchádzajúcu prevádzku cez pripojenie na špeciálny server news-bbc.podzone[.]org"

      Ak sa nemýlim, tak v originály je to inak. 

      "Administrators who want to check for Turla-infected Linux systems can check outgoing traffic for connections to news-bbc.podzone[.]org or 80.248.65.183, which are the addresses of known command and control channels hardcoded into the Linux trojan."

      "V prípade, že zistíte na svojom stroji spojenie na news-bbc.podzone.org alebo 80.248.65.183 ...". Takže nikde sa nepripájajte. Skôr naopak, existujúce spojenie na news-bbc.podzone zrušte.

    • RE: POZOR: Účinné a neviditeľné Linux trojan malware pre špionáž 21.01.2015 | 19:12
      Avatar vojto   Používateľ

      Nie som expert, ale určite dokážem pochopiť vysvetlenie, ako sa dokáže skryť v linuxe (že vraj stealth) nejaky malware. V zozname procesov nie je, cez inetd sa nespúšťa, napriek tomu reaguje na špeciálny reťazec poslaný po sieti. Hotový démon. :-) So súčasnými znalosťami by som povedal, že niekto (Kaspersky Lab?) si z nás robí žarty, ale rád sa dám poučiť.

      Takže, kde sa ten malware skrýva? Odpoveď na HDD neberiem ako dostačujúcu. Na HDD môžem mať bezpečne ustajnených aj milión vírusov a nič PC nehrozí.