LINUX.ORG.RU

Обнаружена новая вредоносная программа для систем GNU/Linux

 ,


0

1

Исследователи из Netlab, подразделения компании 360, сообщили, что им удалось обнаружить новый бэкдор для Линукс, который они назвали RotaJakiro (из-за того, что эта группа вирусов использует сдвигаемое «rotate» шифрование, а поведение зависит от привилегированности пользователя). После заражения компьютера, злоумышленники получали полный доступ к управлению системой (через 443 порт, при помощи своего собственного протокола).

Cообщается, что бэкдор (а точнее семейство оных) оставался незамеченным как минимум 3 года.

Из технических особенностей:

  • RotaJakiro способен поражать системы на базе amd64
  • Бэкдор использует различные способы шифрования, чтобы затруднить обнаружение следов своей деятельности
  • Маскировка под системные процессы (типа systemd-daemon или gvfsd-helper)

Также сообщается, что в бэкдор были интегрированы 12 функций для загрузки, выполнения и удаления неких плагинов, а сами функции можно объединить в 4 группы:

  1. Получение и сообщение спецификаций устройства
  2. Кража конфиденциальной информации
  3. Работа с плагинами (запрос, загрузка, удаление)
  4. Выполнения плагина

>>> Подробности

★★★

Проверено: Shaman007 ()
Последнее исправление: xaizek (всего исправлений: 2)

где качать, как компилить?

anonymous
()
Ответ на: комментарий от fernandos

Ну вот опять: только появится замечательная вундервафля, как «исходники закрыты, код работает только при определенной фазе Луны на компьютерах с определенной версией glibc и только с systemd»...

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

на компьютерах с определенной версией glibc и только с systemd

Зачем, если можно написать вирусы на системных вызовах, так что они будут работать на любом дистрибутиве и версии ядра? Это для обычных программ на Линуксе бардак, а для вирусов всё стабильно.

X512 ★★★★★
()

Шерето этот ваш лимукс!!111

(странно, что никто не написал ещё)

ZzaizZ
()
Ответ на: комментарий от dexpl

Забыл убрать, спасибо.

@Shaman007 (или кто-то из модераторов/корректоров), поправь, пожалуйста.

fernandos ★★★
() автор топика
Ответ на: комментарий от X512

А ещё можно писать на высокоуровневых яп. Были истории, когда вредоносы внедрялись в моды/плагины под майнкрафт, в том числе заражая юзерские машины под линуксом. Возможно они и сейчас живы. Там был прикол с убунту - скриптом создавался алиас на su, чтобы получить рутовый пароль.

Судя по функционалу, вирусня нацелена на серверы и/или офисные пк. Почему её обозвали бэкдором? Это же вирус, а не бэкдор.

InterVi ★★★★
()
Ответ на: комментарий от InterVi

Вирус же встраивается в другие программы (заражет, он же вирус), а эта хрень обеспечивает бэкдор в системе.

fernandos ★★★
() автор топика

Почему в новости не указали с каких ip отдавались команды этим бэкдор ? (по ссылке ЭТО есть)

mx__ ★★★★★
()

Маскировка под системные процессы (типа systemd-daemon или gvfsd-helper)

То есть на нормальных системах его обнаружить не проблема? )

GAMer ★★★★★
()

На опеннете и то больше расписано. ЛОР, куда ты катишься :(

Gonzo ★★★★★
()

типа systemd-daemon

Дотянулся клятый Сталин Поттеринг!

zabbal ★★★★★
()

На всякий случай: этот вирус можно было подцепить, только самостоятельно установив (в том числе с ПО из невнятных источников)

При запуске с правами root для активации вредоносного ПО

anonymous_sapiens ★★★★★
()

сабж возмутительно не верно интерпретирован, как GNU к мерзостям системды шапкиной относится? или что уже весь гну это грёбанный рх??

bug_
()
Последнее исправление: bug_ (всего исправлений: 2)

А есть информация кто этот бэкдор в линукс положил?

anonymous
()
Ответ на: комментарий от anonymous_sapiens

На всякий случай: этот вирус можно было подцепить, только самостоятельно установив

Нет конечно. 1-day и/или корявую настройку никто не отменял.

fornlr ★★★★★
()
Ответ на: комментарий от Eddy_Em

Говорят с systemd не работает, кричит, что ему нужны баш-портянки

anonymous
()

Также сообщается, что в бэкдор были интегрированы 12 функций для загрузки

Это не UNIX-way! Одна программа должна выполнять одну функцию. Они там совсем ничего не умеют, что-ли?

anonymous
()

Ничего страшного, линукс, в отличии от винды, переустанавливается быстро.

anonymous
()

А как заражили-то? И это, опять один из тех вирусов, которые надо сначала собрать, а потом запустить от рута?)

Dog ★★★
()
Ответ на: комментарий от anonymous

Особенно если вся система в режиме ro.

mx__ ★★★★★
()
Ответ на: комментарий от anonymous

Просто Винда не любит ленивых )

anonymous
()
Ответ на: комментарий от X512

Это для обычных программ на Линуксе бардак, а для вирусов всё стабильно.

Если абстрагироваться, то всё верно. Но в Линуксе нет вирусов, есть уязвимости и их эксплуатация. А вирусы – это на венде. Там народ такими категориями мыслит.

anonymous
()
Ответ на: комментарий от bug_

сабж возмутительно не верно интерпретирован, как GNU

Всё верно. Если линукс – гну/линукс, значит вирус – гну/вирус. Или – или.

anonymous
()
Ответ на: комментарий от anonymous

Это не UNIX-way! Одна программа должна выполнять одну функцию. Они там совсем ничего не умеют, что-ли?

Разработка Шляпы или Майкрософт. У них так принято.

anonymous
()
Ответ на: комментарий от Stack77

Еще и | bash, ахах. Короче очередной вирус в исследовательских целях, по серьезному заразиться которым могут только полные нубы, понятно.

Dog ★★★
()
Ответ на: комментарий от Dog

А как заражили-то? И это, опять один из тех вирусов, которые надо сначала собрать, а потом запустить от рута?)

Не забыть systemctl enable, systemctl start. Иначе не сработает. И в SELinux и AppArmor нужно добавить исключения.

anonymous
()
Ответ на: комментарий от anonymous

Ничего страшного, линукс, в отличии от винды, переустанавливается быстро.

O_O зачем? Ну я ещё понимаю, когда человек с дистра на дистр переходит. Но этож какие руки надо иметь, что бы Linux переставлять надо было.

AlexVR ★★★★★
()
Ответ на: комментарий от anonymous

Ну классика. Модуль в ядро, инитрамфс пеерсобрать не надо хоть в этот раз?

Dog ★★★
()
Ответ на: комментарий от AlexVR

O_O зачем? Ну я ещё понимаю, когда человек с дистра на дистр переходит. Но этож какие руки надо иметь, что бы Linux переставлять надо было.

Вообще пофигу, если корень сдохнет или его пожрёт вирус. А вот /home/ другое дело. В твоих категориях это диск Цэ и c:\Users соответствено.

anonymous
()
Ответ на: комментарий от Dog

Ну, как я понял, он по другому не инсталлится. Там ещё разное поведения от рута и от пользователя. Короче, новость не совсем новость.

Тут вообще не сильно давно отвечал на вопросы бэкдоров, кто таким образом панель управления VestaCP себе ставил, зашквар полный (причем и сама панель тоже), но люди не знают. Чему удивляться, когда тут Rust так ставят (недавно в какой-то теме читал).

Stack77
()
Ответ на: комментарий от LamerOk

Причем оба горячих и оба в задницу.

anonymous
()
Ответ на: комментарий от AlexVR

Но этож какие руки надо иметь, что бы Linux переставлять надо было.

libc чтобы проапгрейдить по версии. Или DE накатить другое. Порой проще дистр поменять.

tiinn ★★★★★
()

На форумах Linux Mint говорят уже подцепили ну так васянский же

anonymous
()
Ответ на: комментарий от dumauz

Сначала нужно поставить вирусы, а уже потом антивирусы)

BceM_IIpuBeT ★★☆☆☆
()

Обнаружена новая вредоносная программа для систем GNU/Linux

Дайте угадаю: Поттеринг выкатил очередное поделие? Впрочем, чего это я: мало ли говнокодеров на свете.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Дайте угадаю: Поттеринг выкатил очередное поделие? Впрочем, чего это я: мало ли говнокодеров на свете.

Поттеринг в IBM/RedHat/Linux работает, а не в GNU.

kostyarin_ ★★
()

Наконец-то завезли

anonymous
()
Ответ на: комментарий от anonymous

Ошибока вышла, но это мы поправим. Гы.

А если серьезно, вот зачем так Раст ставить: $ curl –proto ‘=https’ –tlsv1.2 https://sh.rustup.rs -sSf | sh

Официально предлагают. Не, совсем не идиоты. Торвальдс там что-то «мнется» - гнать этих из Ъ С.

Stack77
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.