LINUX.ORG.RU

Обнаружена новая вредоносная программа для систем GNU/Linux

 ,


0

1

Исследователи из Netlab, подразделения компании 360, сообщили, что им удалось обнаружить новый бэкдор для Линукс, который они назвали RotaJakiro (из-за того, что эта группа вирусов использует сдвигаемое «rotate» шифрование, а поведение зависит от привилегированности пользователя). После заражения компьютера, злоумышленники получали полный доступ к управлению системой (через 443 порт, при помощи своего собственного протокола).

Cообщается, что бэкдор (а точнее семейство оных) оставался незамеченным как минимум 3 года.

Из технических особенностей:

  • RotaJakiro способен поражать системы на базе amd64
  • Бэкдор использует различные способы шифрования, чтобы затруднить обнаружение следов своей деятельности
  • Маскировка под системные процессы (типа systemd-daemon или gvfsd-helper)

Также сообщается, что в бэкдор были интегрированы 12 функций для загрузки, выполнения и удаления неких плагинов, а сами функции можно объединить в 4 группы:

  1. Получение и сообщение спецификаций устройства
  2. Кража конфиденциальной информации
  3. Работа с плагинами (запрос, загрузка, удаление)
  4. Выполнения плагина

>>> Подробности

Ответ на: комментарий от fernandos

Ну вот опять: только появится замечательная вундервафля, как «исходники закрыты, код работает только при определенной фазе Луны на компьютерах с определенной версией glibc и только с systemd»...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

на компьютерах с определенной версией glibc и только с systemd

Зачем, если можно написать вирусы на системных вызовах, так что они будут работать на любом дистрибутиве и версии ядра? Это для обычных программ на Линуксе бардак, а для вирусов всё стабильно.

X512 ()
Ответ на: комментарий от X512

А ещё можно писать на высокоуровневых яп. Были истории, когда вредоносы внедрялись в моды/плагины под майнкрафт, в том числе заражая юзерские машины под линуксом. Возможно они и сейчас живы. Там был прикол с убунту - скриптом создавался алиас на su, чтобы получить рутовый пароль.

Судя по функционалу, вирусня нацелена на серверы и/или офисные пк. Почему её обозвали бэкдором? Это же вирус, а не бэкдор.

InterVi ★★★ ()
Ответ на: комментарий от anonymous_sapiens

На всякий случай: этот вирус можно было подцепить, только самостоятельно установив

Нет конечно. 1-day и/или корявую настройку никто не отменял.

fornlr ★★★★★ ()
Ответ на: комментарий от X512

Это для обычных программ на Линуксе бардак, а для вирусов всё стабильно.

Если абстрагироваться, то всё верно. Но в Линуксе нет вирусов, есть уязвимости и их эксплуатация. А вирусы – это на венде. Там народ такими категориями мыслит.

anonymous ()
Ответ на: комментарий от anonymous

Это не UNIX-way! Одна программа должна выполнять одну функцию. Они там совсем ничего не умеют, что-ли?

Разработка Шляпы или Майкрософт. У них так принято.

anonymous ()
Ответ на: комментарий от Dog

А как заражили-то? И это, опять один из тех вирусов, которые надо сначала собрать, а потом запустить от рута?)

Не забыть systemctl enable, systemctl start. Иначе не сработает. И в SELinux и AppArmor нужно добавить исключения.

anonymous ()
Ответ на: комментарий от anonymous

Ничего страшного, линукс, в отличии от винды, переустанавливается быстро.

O_O зачем? Ну я ещё понимаю, когда человек с дистра на дистр переходит. Но этож какие руки надо иметь, что бы Linux переставлять надо было.

AlexVR ★★★★★ ()
Ответ на: комментарий от AlexVR

O_O зачем? Ну я ещё понимаю, когда человек с дистра на дистр переходит. Но этож какие руки надо иметь, что бы Linux переставлять надо было.

Вообще пофигу, если корень сдохнет или его пожрёт вирус. А вот /home/ другое дело. В твоих категориях это диск Цэ и c:\Users соответствено.

anonymous ()
Ответ на: комментарий от Dog

Ну, как я понял, он по другому не инсталлится. Там ещё разное поведения от рута и от пользователя. Короче, новость не совсем новость.

Тут вообще не сильно давно отвечал на вопросы бэкдоров, кто таким образом панель управления VestaCP себе ставил, зашквар полный (причем и сама панель тоже), но люди не знают. Чему удивляться, когда тут Rust так ставят (недавно в какой-то теме читал).

Stack77 ()
Ответ на: комментарий от anonymous

Ошибока вышла, но это мы поправим. Гы.

А если серьезно, вот зачем так Раст ставить: $ curl –proto ‘=https’ –tlsv1.2 https://sh.rustup.rs -sSf | sh

Официально предлагают. Не, совсем не идиоты. Торвальдс там что-то «мнется» - гнать этих из Ъ С.

Stack77 ()