LINUX.ORG.RU

Обнаружен первый троянец для Linux, похищающий пароли

 ,


1

3

Ъ:

Компания «Доктор Веб» сообщает о появлении первого кросс-платформенного бэкдора, способного работать в операционных системах Linux и Mac OS X. Эта вредоносная программа предназначена для кражи паролей от ряда популярных интернет-приложений. BackDoor.Wirenet.1 — первый в своем роде троянец с подобным функционалом, способный одновременно работать в этих операционных системах.

Механизм распространения этого троянца, добавленного в вирусные базы Dr.Web под именем BackDoor.Wirenet.1, еще выясняется. Данная вредоносная программа является бэкдором, способным работать как в операционной системе Linux, так и в Mac OS X. В момент запуска BackDoor.Wirenet.1 создает свою копию в домашней папке пользователя. Для взаимодействия с командным сервером, расположенным по адресу 212.7.208.65, вредоносная программа использует специальный алгоритм шифрования Advanced Encryption Standard (AES).

BackDoor.Wirenet.1 обладает функционалом кейлоггера (т. е. способен фиксировать нажатия пользователем клавиш и отправлять полученные данные злоумышленникам), кроме того, он крадет пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin.

По материалам официального пресс-релиза.

!Ъ:http://soft.mail.ru/pressrl_page.php?id=48026

★★★★★

Последнее исправление: Klymedy (всего исправлений: 1)

Я щитаю, все дело в этом:

Антивирусное ПО производства компании «Доктор Веб» успешно распознает и удаляет этот бэкдор, в связи с чем данная угроза не представляет серьезной опасности для пользователей Антивируса Dr.Web для Mac OS X и Антивируса Dr.Web для Linux.

eagleivg ★★★★★
()
Ответ на: комментарий от eagleivg

И вообще, лучше описание добавить:

Троянец-бэкдор, способный работать в операционных системах Linux и MacOS X. Обладает функционалом кейлогера, способен красть пароли, вводимые пользователем в браузерах Opera, Firefox, Chrome, Chromium, а также пароли от таких приложений, как Thunderbird, SeaMonkey, Pidgin.

При запуске копирует себя в домашнюю директорию пользователя.

  • В MacOS: в папку %home%/WIFIADAPT.app.app
  • В Linux: в %home%/WIFIADAPT

Устанавливает соединение с удаленным командным центром по адресу 212.7.208.65.

Использует проверку соединения с использованием алгоритма шифрования Advanced Encryption Standard (AES).

eagleivg ★★★★★
()

Компания «Доктор Веб»

дальше можно не читать.

anonymous
()
Ответ на: комментарий от Deleted

Ага:) Правда, самого трояна не нашел пока, так что вопрос «Ух ты, дай посмотреть» пока актуален.

Вообще, по ссылке на скринах asm, так что подозреваю, в линух или мак этот троян мог попасть через wine

eagleivg ★★★★★
()
Ответ на: комментарий от eagleivg

Плюсую. Надеятся, что линаксойды рынутся массово скупать их поделку.

Deleted
()

Даже бинарей нет?

А они смешные :)

Deleted
()

А ppa для ubuntu уже сделали?

Deleted
()
Ответ на: комментарий от eagleivg

А это самое главное... а то, если это типа «скачать бесплатно без смс крякнутый доктор веб для линукс» и в комплекте будет троян, то меня это как-то вполнует - ставлю софт только из проверенных источников.

А если он способен проникнуть на компьютер без явных установочных действий юзера, то это уже реальная угроза.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

без явных установочных действий юзера

Только в этом треде десяток юзеров уже просят дать им установить эту «программу». Я думаю, что если бы вирусописатели потрудились сделать пакеты для всех дистрибутивов, то их поделие имело бы успех.

Rimbaud
()
Ответ на: комментарий от KivApple

А если он способен проникнуть на компьютер без явных установочных действий юзера

хотел бы я на это посмотреть

JFreeM ★★★☆
()
Ответ на: комментарий от JFreeM

хотел бы я на это посмотреть

google://pdf+plugin+Vulnerability
google://flash+plugin+Vulnerability
bing://ie+wine+vulnerability

Rimbaud
()
Ответ на: комментарий от JFreeM

Я про то, что юзер не сам скачал, сам запустил, сам себе злобный буратино. А, допустим, просто посетил особенную веб-страницу. То есть действие, которое может совершить абсолютно любой и не являющееся чем-то подозрительным само по себе.

KivApple ★★★★★
()

BackDoor.Wirenet.1 обладает функционалом

Странные товарищи, какой интерес представляет функционал, если важна лишь информация об уязвимом приложении/демоне и способе запуска?

backbone ★★★★★
()
Ответ на: комментарий от Rimbaud

Дописать noexec в fstab для раздела с /home.

Само-собой, домашний каталог должен при установке быть на отдельном разделе.

ololoid ★★★★
()
Ответ на: комментарий от eagleivg

В Linux: в %home%/WIFIADAPT

%home%

Небось для его запуска Wine нужен?

Xenesz ★★★★
()

Патч для ядра, надеюсь, в комплекте с троянцем идет? Или опять для запуска Линуса просить надо? ;)

redgremlin ★★★★★
()
Ответ на: комментарий от backbone

Странные товарищи, какой интерес представляет функционал, если важна лишь информация об уязвимом приложении/демоне и способе запуска?

Странный Вы человек. Какой интерес представляет Ваше сообщение, если важна лишь информация из нулевого поста/сообщения и первого комментария?

edigaryev ★★★★★
()
Ответ на: комментарий от eagleivg

На скрине - граф кода в дизассемблере (IDA). Нет ничего удивительного в том, что там ассемблерный код, и ничего вендоспецифичного в этом куске нету. (вот источник, на нём скрин побольше: http://news.drweb.com/show/?i=2679&lng=ru&c=14)

И да, наши уважаемые ав-конторы как обычно раздувают панику - их «новая угроза» это троян-стилер NetWire, который всплывал ещё пару месяцев назад. Вся его особенность в том, что админка может делать билды вируса для Windows, Linux, и MacOS - т.е это не один кроссплатформенный бинарник. Кому интересен обзор - есть вот тут (http://www.xylibox.com/2012/07/netwire-first-multi-platform-rat.html), небольшой анализ поведения есть только под Windows. Если будет время и найдутся интересующиеся этой темой кроме меня - могу пореверсить линуксовую часть, благо у производителя есть триал-версия . Не знаю, как тут воспримут ссылки на подобных «производителей», поэтому за линком обращайтесь в жаббер. Но при желании и нагуглить несложно.

Reinar
()
Ответ на: комментарий от backbone

Ожидал от Dr.Web нечто большего.

Наивный чукотский юноша, эти самые «пресс-релизы» от ав-компаний в большинстве своём недомолвки, отговорки, и просто 4.2.
Судя по всему никаких эксплоитов троян на борту не несёт (т.е как он попадёт на компьютер к жертве - проблема исключительно злоумышленника), а просто тянет пароли откуда может и сливает в админку.

Reinar
()
Ответ на: комментарий от ololoid

Само-собой, домашний каталог должен при установке быть на отдельном разделе.

Не обязательно.

rain@elitebook:~$ mkdir test
rain@elitebook:~$ cp /usr/bin/id test/
rain@elitebook:~$ ./test/id 
uid=1000(rain) gid=1000(rain) группы=1000(rain),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev)
rain@elitebook:~$ sudo mount -o bind test/ test/
rain@elitebook:~$ sudo mount -o remount,noexec test/
rain@elitebook:~$ ./test/id 
bash: ./test/id: Отказано в доступе
YAR ★★★★★
()

На официальном сайте производителя (др.веб) вируса не нашел. Кто его вообще видел кроме создателей? Где взять?

LightDiver ★★★★★
()
Ответ на: комментарий от LightDiver

Ты так тонко намекнул на drweb?

anonymous
()
Ответ на: комментарий от ololoid

Само-собой, домашний каталог должен при установке быть на отдельном разделе.

не обязательно. можно же монтировать и каталог

teod0r ★★★★★
()

Компания «Доктор Веб» сообщает о появлении первого кросс-платформенного бэкдора

Ну вообще не палятся ребята.

Kindly_Cat
()

Хоть бы на гитхаб выложили, глядишь помогут и под *BSD портировать, и под другие архитектуры. Графическую морду на Qt с OpenGL-ем сделать...

XVilka ★★★★★
()
Ответ на: комментарий от backbone

Раньше, во времена пользования Window Dr.Web делал что-то полезное.

на 50Мб диске во времена aidstest.exe и NDD.exe чтоли?

shrub ★★★★★
()
Ответ на: комментарий от KivApple

И ни слова про механизм распространения...

Сетевой маркетинг. Инфа 146%

Evil_Wizard ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.