LINUX.ORG.RU

Обнаружен первый троянец для Linux, похищающий пароли

 ,


1

3

Ъ:

Компания «Доктор Веб» сообщает о появлении первого кросс-платформенного бэкдора, способного работать в операционных системах Linux и Mac OS X. Эта вредоносная программа предназначена для кражи паролей от ряда популярных интернет-приложений. BackDoor.Wirenet.1 — первый в своем роде троянец с подобным функционалом, способный одновременно работать в этих операционных системах.

Механизм распространения этого троянца, добавленного в вирусные базы Dr.Web под именем BackDoor.Wirenet.1, еще выясняется. Данная вредоносная программа является бэкдором, способным работать как в операционной системе Linux, так и в Mac OS X. В момент запуска BackDoor.Wirenet.1 создает свою копию в домашней папке пользователя. Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES).

BackDoor.Wirenet.1 обладает функционалом кейлоггера (т. е. способен фиксировать нажатия пользователем клавиш и отправлять полученные данные злоумышленникам), кроме того, он крадет пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin.

По материалам официального пресс-релиза.

!Ъ:http://soft.mail.ru/pressrl_page.php?id=48026

★★★★★

Я щитаю, все дело в этом:

Антивирусное ПО производства компании «Доктор Веб» успешно распознает и удаляет этот бэкдор, в связи с чем данная угроза не представляет серьезной опасности для пользователей Антивируса Dr.Web для Mac OS X и Антивируса Dr.Web для Linux.

eagleivg ★★★★★ ()
Ответ на: комментарий от eagleivg

И вообще, лучше описание добавить:

Троянец-бэкдор, способный работать в операционных системах Linux и MacOS X. Обладает функционалом кейлогера, способен красть пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin.

При запуске копирует себя в домашнюю директорию пользователя.

  • В MacOS: в папку %home%/WIFIADAPT.app.app
  • В Linux: в %home%/WIFIADAPT

Устанавливает соединение с удаленным командным центром по адресу 212.7.208.65.

Использует проверку соединения с использованием алгоритма шифрования Advanced Encryption Standard (AES).

eagleivg ★★★★★ ()

Компания «Доктор Веб»

дальше можно не читать.

anonymous ()
Ответ на: комментарий от eagleivg

В Linux: в %home%/WIFIADAPT

Ага, без палева так. Да ещё и в %home%...

Deleted ()
Ответ на: комментарий от Deleted

Ага:) Правда, самого трояна не нашел пока, так что вопрос «Ух ты, дай посмотреть» пока актуален.

Вообще, по ссылке на скринах asm, так что подозреваю, в линух или мак этот троян мог попасть через wine

eagleivg ★★★★★ ()
Ответ на: комментарий от eagleivg

Плюсую. Надеятся, что линаксойды рынутся массово скупать их поделку.

PaulCarroty ★★★★ ()

Дайте ссылку на .rpm пакет, пожалуйста.

Rimbaud ()

А хде его можно подцепить?

anonymous ()

И ни слова про механизм распространения...

KivApple ★★★★★ ()
Ответ на: комментарий от Rimbaud

Дайте ссылку на .rpm пакет, пожалуйста.

Надеюсь, он не будет тянуть 200 мегабайт джавы в зависимостях?

Rimbaud ()

Даже бинарей нет?

А они смешные :)

Deleted ()

А ppa для ubuntu уже сделали?

Deleted ()
Ответ на: комментарий от eagleivg

А это самое главное... а то, если это типа «скачать бесплатно без смс крякнутый доктор веб для линукс» и в комплекте будет троян, то меня это как-то вполнует - ставлю софт только из проверенных источников.

А если он способен проникнуть на компьютер без явных установочных действий юзера, то это уже реальная угроза.

KivApple ★★★★★ ()
Ответ на: комментарий от KivApple

без явных установочных действий юзера

Только в этом треде десяток юзеров уже просят дать им установить эту «программу». Я думаю, что если бы вирусописатели потрудились сделать пакеты для всех дистрибутивов, то их поделие имело бы успех.

Rimbaud ()

А если запрещен запуск бинарей из домашнего каталога?

ololoid ★★★ ()
Ответ на: комментарий от KivApple

А если он способен проникнуть на компьютер без явных установочных действий юзера

хотел бы я на это посмотреть

JFreeM ★★★☆ ()
Ответ на: комментарий от ololoid

А если запрещен запуск бинарей из домашнего каталога?

Как это можно сделать, кстати?

Rimbaud ()
Ответ на: комментарий от Rimbaud

Очевидно, вирусня должен зарутоваться. Этим-то и интересен.

anonymous ()
Ответ на: комментарий от JFreeM

хотел бы я на это посмотреть

google://pdf+plugin+Vulnerability
google://flash+plugin+Vulnerability
bing://ie+wine+vulnerability

Rimbaud ()
Ответ на: комментарий от JFreeM

Я про то, что юзер не сам скачал, сам запустил, сам себе злобный буратино. А, допустим, просто посетил особенную веб-страницу. То есть действие, которое может совершить абсолютно любой и не являющееся чем-то подозрительным само по себе.

KivApple ★★★★★ ()

BackDoor.Wirenet.1 обладает функционалом

Странные товарищи, какой интерес представляет функционал, если важна лишь информация об уязвимом приложении/демоне и способе запуска?

backbone ★★★★★ ()
Ответ на: комментарий от Rimbaud

Дописать noexec в fstab для раздела с /home.

Само-собой, домашний каталог должен при установке быть на отдельном разделе.

ololoid ★★★ ()
Ответ на: комментарий от eagleivg

В Linux: в %home%/WIFIADAPT

%home%

Небось для его запуска Wine нужен?

Xenesz ★★★★ ()

Патч для ядра, надеюсь, в комплекте с троянцем идет? Или опять для запуска Линуса просить надо? ;)

redgremlin ★★★★★ ()
Ответ на: комментарий от backbone

Странные товарищи, какой интерес представляет функционал, если важна лишь информация об уязвимом приложении/демоне и способе запуска?

Странный Вы человек. Какой интерес представляет Ваше сообщение, если важна лишь информация из нулевого поста/сообщения и первого комментария?

edigaryev ★★★★★ ()
Ответ на: комментарий от eagleivg

На скрине - граф кода в дизассемблере (IDA). Нет ничего удивительного в том, что там ассемблерный код, и ничего вендоспецифичного в этом куске нету. (вот источник, на нём скрин побольше: http://news.drweb.com/show/?i=2679&lng=ru&c=14)

И да, наши уважаемые ав-конторы как обычно раздувают панику - их «новая угроза» это троян-стилер NetWire, который всплывал ещё пару месяцев назад. Вся его особенность в том, что админка может делать билды вируса для Windows, Linux, и MacOS - т.е это не один кроссплатформенный бинарник. Кому интересен обзор - есть вот тут (http://www.xylibox.com/2012/07/netwire-first-multi-platform-rat.html), небольшой анализ поведения есть только под Windows. Если будет время и найдутся интересующиеся этой темой кроме меня - могу пореверсить линуксовую часть, благо у производителя есть триал-версия . Не знаю, как тут воспримут ссылки на подобных «производителей», поэтому за линком обращайтесь в жаббер. Но при желании и нагуглить несложно.

Reinar ()
Ответ на: комментарий от backbone

Ожидал от Dr.Web нечто большего.

Наивный чукотский юноша, эти самые «пресс-релизы» от ав-компаний в большинстве своём недомолвки, отговорки, и просто 4.2.
Судя по всему никаких эксплоитов троян на борту не несёт (т.е как он попадёт на компьютер к жертве - проблема исключительно злоумышленника), а просто тянет пароли откуда может и сливает в админку.

Reinar ()
Ответ на: комментарий от Reinar

Я об этом и говорю. Раньше, во времена пользования Window Dr.Web делал что-то полезное.

backbone ★★★★★ ()
Ответ на: комментарий от ololoid

fork из уязвимого приложения и что ты будешь делать со своим noexec?

ckotinko ☆☆☆ ()
Ответ на: комментарий от ololoid

Само-собой, домашний каталог должен при установке быть на отдельном разделе.

Не обязательно.

rain@elitebook:~$ mkdir test
rain@elitebook:~$ cp /usr/bin/id test/
rain@elitebook:~$ ./test/id 
uid=1000(rain) gid=1000(rain) группы=1000(rain),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev)
rain@elitebook:~$ sudo mount -o bind test/ test/
rain@elitebook:~$ sudo mount -o remount,noexec test/
rain@elitebook:~$ ./test/id 
bash: ./test/id: Отказано в доступе
YAR ★★★★★ ()

На официальном сайте производителя (др.веб) вируса не нашел. Кто его вообще видел кроме создателей? Где взять?

LightDiver ★★★★★ ()
Ответ на: комментарий от ololoid

Само-собой, домашний каталог должен при установке быть на отдельном разделе.

не обязательно. можно же монтировать и каталог

teod0r ★★★★★ ()

Компания «Доктор Веб» сообщает о появлении первого кросс-платформенного бэкдора

Ну вообще не палятся ребята.

Kindly_Cat ()

Хоть бы на гитхаб выложили, глядишь помогут и под *BSD портировать, и под другие архитектуры. Графическую морду на Qt с OpenGL-ем сделать...

XVilka ★★★★ ()
Ответ на: комментарий от backbone

Раньше, во времена пользования Window Dr.Web делал что-то полезное.

на 50Мб диске во времена aidstest.exe и NDD.exe чтоли?

shrub ★★★★★ ()
Ответ на: комментарий от KivApple

И ни слова про механизм распространения...

Сетевой маркетинг. Инфа 146%

Evil_Wizard ★★★ ()
Ответ на: комментарий от YAR

$ ./test/id: Отказано в доступе

а если запустить через /lib/ld-linux.so.2 ~/test/id ?

true_admin ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.