image

Zes jaar oud Linux-virus op 12.000 machines aangetroffen

maandag 8 september 2008, 17:04 door Redactie, 38 reacties

Een zes jaar oud Linux-virus heeft meer dan 12.000 computers besmet, zo blijkt uit onderzoek van het Britse anti-virusbedrijf Sophos. Het aantal geïnfecteerde machines kon worden vastgesteld aan de hand van het IP-adres dat Linux/Rst-B opvraagt. Sophos nam contact op met de beheerder van het IP-adres die meehielp met het loggen van alle requests. In totaal maakten 12.238 verschillende IP-adressen 105.930 keer contact. Naast het openen van een backdoor infecteert het virus ook alle ELF executables in de huidige en /bin directory

Het anti-virusbedrijf verwerkte alle IP-adressen op de map van Europa en Amerika. De laatste staat met 2052 unieke geïnfecteerde IP-adressen bovenaan de lijst van landen, gevolgd door China met 1347 machines. Brazilië is derde met 897 IPs, ruim meer dan Duitsland waar 777 mensen zich zorgen moeten maken.

Eerder liet Sophos nog weten dat Linux computers zeer kwetsbaar voor hackers zijn, waarop het de nodige kritiek kreeg. De conclusie is nu een stuk milder. "Betekent dit dat de Linux-gemeenschap het malware probleem ontkent? Nee, niet echt. Nu Linux populairder wordt, is het onvermijdelijk dat onervaren gebruikers niet de nodige voorzorgsmaatregelen nemen." Het virus zou zich voornamelijk via zwakke SSH wachtwoorden verspreiden. "Zoals vaker op dit blog gezegd is, zit het grootste beveiligingsprobleem achter het keyboard. Het lijkt erop dat we hebben bewezen dat dit lek cross platform is," aldus Billy McCourt.

Reacties (38)
08-09-2008, 17:27 door Nomen Nescio
\wat krijgen we nou? Linux kent toch helemaal geen virussen? Er zijn zelfs mensen die geen virusscanner hebben omdat ze met Linux werken. Zo zie je maar weer.
08-09-2008, 18:13 door Anoniem
Om besmet te raken moet je een geinfecteerd bestand in bezit krijgen en vervolgens uitvoeren. Met 12000 besmettingen gedetecteerd na 6 jaar tijd is de vraag welke bestanden men dan uitwisselt...
08-09-2008, 18:15 door Anoniem
Update 16/2
Ter verduidelijking is de tekst aangepast dat de 70% infecties slaat op de honeypots van Sophos. Daarnaast blijkt dat de de Rst-B malware niet gebruikt wordt om systemen over te nemen, maar wordt achtergelaten door aanvallers die het systeem al op een andere manier hebben gehackt.


wat krijgen we nou? Linux kent toch helemaal geen virussen? Er zijn zelfs mensen die geen virusscanner hebben omdat ze met Linux werken. Zo zie je maar weer. Linux had toch nooit last van virussen? En als er iets was, werd het toch binnen de kortste keren gerepareerd? En dan nou een zes jaar oud virus? Moet ik nog meer zeggen? Laten we nou toch eens ophouden met het bashen van producten van anderen. IEDEREEN heeft dezelfde problemen, da's wel duidelijk nou. Keer op keer lezen we dat Linux zo goed is dat virussen geen kans krijgen. Nou heb ik niks tegen Linux hoor, maar dit sprookje is nou wel doorgeprikt.

Hahaha!
08-09-2008, 18:40 door Bitwiper
Door Nomen Nescio\wat krijgen we nou? Linux kent toch helemaal geen virussen? Er zijn zelfs mensen die geen virusscanner hebben omdat ze met Linux werken. Zo zie je maar weer.
Bedoel je dat Linux gebruikers, zoals de bron graag wil, Sophos gaan gebruiken? Zaterdag veegde je daar nog [url=http://www.security.nl/artikel/22977/1/Antivirusbedrijf_onbereikbaar_door_DNS_blunder.html]de vloer[/url] mee aan...

Sophos is sowieso nauwelijks zinvol onder genoemde omstandigheden: geen enkele virusscanner kan problemen t.g.v. zwakke wachtwoorden voorkomen. Dat geldt net zo goed voor Linux als voor Windows (zie de [url=http://www.guardian.co.uk/theguardian/2005/jul/09/weekend7.weekend2]Gary McKinnon affaire[/url]).
08-09-2008, 19:09 door Eerde
Wat zou je in godsnaam met een virusscanner moeten in GNU/Linux ? Dat heeft nog nooit iemand duidelijk kunnen maken.
Verder klopt het verhaal van geen kanten (buiten het duidelijke WC-eend gehalte).
De meeste GNU/Linux distro's maken in de homedir een map /bin, die is echter leeg. De enig interessante map zou zijn in de root directory /bin, maar ja hoe kom je daar ?

En dan verder:
Het virus zou zich voornamelijk via zwakke SSH wachtwoorden verspreiden."Zoals vaker op dit blog gezegd is, zit het grootste beveiligingsprobleem achter het keyboard. Het lijkt erop dat we hebben bewezen dat dit lek cross platform is," aldus Billy McCourt.
Ziet niemand hier nu de humor van in ?
08-09-2008, 19:11 door Anoniem
15-02-2008 19:53, door Nomen Nescio
Linux had toch nooit last van virussen? En als er iets was, werd het toch binnen de kortste keren gerepareerd? En dan nou een zes jaar oud virus? Moet ik nog meer zeggen? Laten we nou toch eens ophouden met het bashen van producten van anderen. IEDEREEN heeft dezelfde problemen, da's wel duidelijk nou.

Update 16/2
Ter verduidelijking is de tekst aangepast dat de 70% infecties slaat op de honeypots van Sophos. Daarnaast blijkt dat de de Rst-B malware niet gebruikt wordt om systemen over te nemen, maar wordt achtergelaten door aanvallers die het systeem al op een andere manier hebben gehackt.


08-09-2008 17:27, door Nomen Nescio
\wat krijgen we nou? Linux kent toch helemaal geen virussen? Er zijn zelfs mensen die geen virusscanner hebben omdat ze met Linux werken. Zo zie je maar weer.
08-09-2008, 19:28 door Anoniem
Door EerdeWat zou je in godsnaam met een virusscanner moeten in GNU/Linux ? Dat heeft nog nooit iemand duidelijk kunnen maken.
Verder klopt het verhaal van geen kanten (buiten het duidelijke WC-eend gehalte).

En die IP-adressen zijn zeker verzonnen?
Leg mij dan eens uit hoe het kan dat een virus, wat volgens jou niet actief kan zijn op een linux doos, requests doet naar dat bewuste IP-adres....
08-09-2008, 19:37 door Gutsy Gibbon
@Nomen
Dat Linux gebruikers geen virusscanner gebruiken betekent niet dat ze weten van het bestaan wel hoe ze moeten voorkomen dat hun machine besmet raakt.
08-09-2008, 20:07 door Eerde
13 February 2008 <<< Oud nieuws dat WC-eend iedere 3 tot 6 maanden herhaalt.
http://www.sophos.com/pressoffice/news/articles/2008/02/rstbtool.html
http://www.sophos.com:80/security/analyses/viruses-and-spyware/linuxrstb.html
If executed as root, it will start processes listening on two network interfaces which provide a remote root shell.
Het enige dat dit bewijst is dat men ergens een (1) niet beveiligde Linux-server heeft gevonden als het verhaal al waar is en ze het er niet zelf opgezet hebben want sinds Linux popie is moet iedereen ook security tax gaan betalen...
08-09-2008, 20:29 door Anoniem
Door Nomen Nescio\wat krijgen we nou? Linux kent toch helemaal geen virussen?
haha lol.. geloof je het zelf?

hoelang ben bij al met computers bezig? volgens mij nog niet zo heel erg lang.
08-09-2008, 20:56 door Anoniem
Door EerdeWat zou je in godsnaam met een virusscanner moeten in GNU/Linux ? Dat heeft nog nooit iemand duidelijk kunnen maken.

Wij draaien al jaren o.a. Sophos op Linux,
om alle inkomende mail te checken op virussen.
Sophos is nl. bijzonder snel met updates.

# savscan -v
SAVScan virus detection utility
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 08:52:56 PM, System date 08 September 2008

Product version : 4.33.0
Engine version : 2.78.0
Virus data version : 4.33
User interface version : 2.07.212
Platform : Linux/Intel
Released : 01 September 2008
Total viruses (with IDEs) : 491840
08-09-2008, 22:00 door Anoniem
Sophos is gewoon op zoek naar een nieuwe afzetmarkt en schijnt aan te nemen dat de gemiddelde GNU/Linux gebruiker net zo incomptent als zij zelf is.

Groet, ML2MST
09-09-2008, 04:10 door Anoniem
Door EerdeWat zou je in godsnaam met een virusscanner moeten in GNU/Linux ? Dat heeft nog nooit iemand duidelijk kunnen maken.

Mail, ftp enz enz...

Rex
09-09-2008, 07:56 door Anoniem
FUD
09-09-2008, 09:18 door Anoniem
Zijn er dan toch virussen voor linux?
Er wordt altijd beweerd dan linux zo veilig is.
Blijkt dus niet waar te zijn.
09-09-2008, 10:05 door U4iA
Het sleutelwoord voor zit hem in deze quote:
Zoals vaker op dit blog gezegd is, zit het grootste beveiligingsprobleem achter het keyboard.
...dit geldt overgens voor elk OS.
09-09-2008, 10:42 door Anoniem
De meeste infecties komen uit landen waar de gebruikers DHCP-variable adressen krijgen, unlike Nederland waar je maanden, zo niet jarenlang hetzelfde IP houdt. Wanneer ZES PC's elke dag 1 keer reboot worden en dat zes jaar lang heb je '12.000' 'unieke' IP adressen.
09-09-2008, 10:45 door spatieman
Door Nomen Nescio\wat krijgen we nou? Linux kent toch helemaal geen virussen? Er zijn zelfs mensen die geen virusscanner hebben omdat ze met Linux werken. Zo zie je maar weer.

er is imho nooit beweert worden dat linux ongevoelig is voor virusen.
Oja, iemand mijn SSH kraken ?
mijn ip adres is 127.0.0.1 en root als inlog en 12345 als passwordt..
09-09-2008, 11:53 door Anoniem
Lol , en de Linux fundamentalisten maar beweren dat linux onkwetsbaar is.
Misschien blijkt Linux nog kwetsbare te zijn dan Windows als het de aandacht van de virusschrijvers krijgt.
09-09-2008, 11:57 door Anoniem
Door spatieman

er is imho nooit beweert worden dat linux ongevoelig is voor virusen.
Oja, iemand mijn SSH kraken ?
mijn ip adres is 127.0.0.1 en root als inlog en 12345 als passwordt..

We waren al op de hoogte van jouw denk niveau.

Voor die andere 2 Linux amateurs, ML2MST en Eerde: jullie hebben last van struisvogelreflexen.

Die 12.000 besmette systemen zijn waarschijnlijk grotendeels besmet geraakt onder root. Daarnaast zijn er nog meer besmettingen met rechten die onvoldoende zijn voor het naar buiten toe communiceren.

Zoals ik al eerder heb uitgelegd (voor sommigen aan dovemansoren) kan ik bevestigen dat een groot deel van de gehackte Linux systemen hacktools bevat die besmet zijn met het Linux/Rst virus. Daar hebben we dagelijks mee te maken. Het zijn vaak multi-user systemen. Ze hebben één ding gemeen: ze zijn niet goed beveiligd.

Een Sophos researcher heeft hier origineel onderzoek verricht en daar mogen ze best voor worden gewaardeerd. Vaak sturen de Sophos PR aasgieren nonsens berichten de wereld in, zoals die over 419 scams, maar dit is een door een researcher uitgevoerd gebalanceerd onderzoek. Er is in de anti-virus industrie een duidelijk verschil tussen de functies van researcher en marketeer en dat zie je hier terug.
09-09-2008, 15:50 door spatieman
mijn denk wijze is direct.

ik zeg wat ik denk.
en vind het bezopen dat een 6 jaar oud virus de kans krijgt om machines te infecteren..
09-09-2008, 16:21 door Anoniem
Door Anoniem
Door spatieman

er is imho nooit beweert worden dat linux ongevoelig is voor virusen.
Oja, iemand mijn SSH kraken ?
mijn ip adres is 127.0.0.1 en root als inlog en 12345 als passwordt..

We waren al op de hoogte van jouw denk niveau.

Voor die andere 2 Linux amateurs, ML2MST en Eerde: jullie hebben last van struisvogelreflexen.

Die 12.000 besmette systemen zijn waarschijnlijk grotendeels besmet geraakt onder root. Daarnaast zijn er nog meer besmettingen met rechten die onvoldoende zijn voor het naar buiten toe communiceren.

Zoals ik al eerder heb uitgelegd (voor sommigen aan dovemansoren) kan ik bevestigen dat een groot deel van de gehackte Linux systemen hacktools bevat die besmet zijn met het Linux/Rst virus. Daar hebben we dagelijks mee te maken. Het zijn vaak multi-user systemen. Ze hebben één ding gemeen: ze zijn niet goed beveiligd.

Een Sophos researcher heeft hier origineel onderzoek verricht en daar mogen ze best voor worden gewaardeerd. Vaak sturen de Sophos PR aasgieren nonsens berichten de wereld in, zoals die over 419 scams, maar dit is een door een researcher uitgevoerd gebalanceerd onderzoek. Er is in de anti-virus industrie een duidelijk verschil tussen de functies van researcher en marketeer en dat zie je hier terug.
Wat een lol :-) je verkondigd hier exact hetzelfde als wat ik altijd verkondig en noemt mij een amateur. Bij deze, van harte welkom bij het Linux Struisvogel Amateurs clubje dan :-)

De Britten zeggen: "You just shot yourself in the foot" :-)
09-09-2008, 18:18 door SirDice
Door spatiemanmijn denk wijze is direct.

ik zeg wat ik denk.
en vind het bezopen dat een 6 jaar oud virus de kans krijgt om machines te infecteren..
Een virus (en zeker RST) infecteert bestanden geen machines.
09-09-2008, 20:21 door Gutsy Gibbon
ik zeg wat ik denk.
en vind het bezopen dat een 6 jaar oud virus de kans krijgt om machines te infecteren.
beheerders kwestie heeft niks te maken hoe solide een OS is.

Lol , en de Linux fundamentalisten maar beweren dat linux onkwetsbaar is.
Misschien blijkt Linux nog kwetsbare te zijn dan Windows als het de aandacht van de virusschrijvers krijgt.
Linux is juist minder kwetsbaar dan Windows omdat het makkelijker tegen te weren is tegen virussen.
En al zal Linux meer aandacht krijgen van virusschrijvers dan Windows is het nog steeds een betrouwbaarder OS.
10-09-2008, 09:46 door Anoniem
1, Ja ook Linux kent virussen
2, Linux is niet vatbaar voor Windows virussen en aangezien heeeel veel mensen Micro$uck gebruiken zijn daargewoon heel veel virussen voor
3, dit bericht is inderdaad oud nieuws wat we elk jaar weer horen!
10-09-2008, 10:45 door SirDice
Door Gutsy GibbonLinux is juist minder kwetsbaar dan Windows omdat het makkelijker tegen te weren is tegen virussen.
Onzin. Er zit niets in Linux of *nix in het algemeen wat een virus tegen zou gaan. Wat een hoop mensen maar niet lijkt te begrijpen is dat een virus of worm GEEN root of admin rechten nodig heeft om effectief te zijn.
10-09-2008, 14:03 door Eerde
Voor die andere 2 Linux amateurs, ML2MST en Eerde: jullie hebben last van struisvogelreflexen.
Nee wij zijn de enige die het begrijpen omdat we jarenlange gebruikers zijn met verstand van zaken.

Hoorde onlangs een leuk verhaal van een IT'er die bij een MKB'er een aantal GNU/Linux boxjes moest plaatsen.
De directeur eiste dat er een virusscanner op kwam want: "Linux kan dan wel niet besmet raken, ze werken wel in een windows omgeving". @ 75,= per pop heeft hij het geinstalleerd. Dus blijf in de waan, we verdienen er leuk aan.

Lees nu nog eens:
Update 16/2
Ter verduidelijking is de tekst aangepast dat de 70% infecties slaat op de honeypots van Sophos. Daarnaast blijkt dat de de Rst-B malware niet gebruikt wordt om systemen over te nemen, maar wordt achtergelaten door aanvallers die het systeem al op een andere manier hebben gehackt

a. Een honeypot is een onbeveiligde machine, uitlokking
b. De honeypot is van WC-eend, die iedere 3 tot 6 maanden met deze zelfde FUD komt
c. Het systeem moet reeds eerder ge-cracked zijn, hoe verteld het verhaal natuurlijk niet
d. De machine wordt niet overgenomen
e. Het betrof toen in 2001, kernel 2.4.x als ik mij goed herinner, die is allang ge-patched

De WC-eend jongens willen nu eenmaal dat de GNU/Linux gebruikers ook de security-tax gaan betalen gezien de populariteit (vooral op UMPC's).
10-09-2008, 14:42 door SirDice
Door Eerdee. Het betrof toen in 2001, kernel 2.4.x als ik mij goed herinner, die is allang ge-patched
ELF heeft niets met de kernel te maken. RST maakt dankbaar misbruik van de mogelijkheden van ELF om bestanden te infecteren. Die ELF functionaliteit heeft niets met de kernel versie te maken. RST werkt dus ook gewoon met de huidige 2.6.x kernels.

Het valt overigens ook niet te patchen zonder de functionaliteit van ELF te breken en het formaat compleet onbruikbaar te maken.
10-09-2008, 14:49 door Eerde
SirFUD dat beweer ik ook helemaal niet...
10-09-2008, 15:05 door SirDice
Ik zou maar een nieuw ding verzinnen want dat SirFUD begint nu echt oud te worden. Daag me a.u.b. niet uit want je hebt werkelijk geen idee waar je aan begint..

Door lullo
a. Een honeypot is een onbeveiligde machine, uitlokking
Er zijn honderden, zoniet duizenden, windows machines die niet of nauwelijks gepatcht worden, is dat ook uitlokking?
En hoe kan iets wat passief ergens aangesloten zit iets uitlokken? Uitlokken is een actie.

b. De honeypot is van WC-eend, die iedere 3 tot 6 maanden met deze zelfde FUD komt
Geen FUD

c. Het systeem moet reeds eerder ge-cracked zijn, hoe verteld het verhaal natuurlijk niet
Over beter lezen gesproken
Het virus zou zich voornamelijk via zwakke SSH wachtwoorden verspreiden.

d. De machine wordt niet overgenomen
Mee eens maar dat betekend nog niet dat die machine niet als spam zombie o.i.d. gebruikt kan worden.

dat beweer ik ook helemaal niet...
Waar slaat je opmerking dan op?
10-09-2008, 15:09 door Eerde
Daag me a.u.b. niet uit want je hebt werkelijk geen idee waar je aan begint..
Dreigen ? Hoe koddig SirFUD.
10-09-2008, 15:33 door SirDice
Nope.. Da's een vaststaand feit. Een gewaarschuwd mens telt voor twee.
10-09-2008, 15:46 door Eerde
Vandaag, 15:33 door SirDice
Nope.. Da's een vaststaand feit. Een gewaarschuwd mens telt voor twee.
SirFUD, nog meer dreigen is nog koddiger, je maakt jezelf belachelijk !
10-09-2008, 16:15 door SirDice
Ach.. Je komt er vanzelf wel achter...
10-09-2008, 16:20 door Eerde
Ach.. Je komt er vanzelf wel achter..
'K zeg 't: "Belachelijk" ... ennuh ik ben niet onder de indruk SirFUD !
10-09-2008, 16:36 door SirDice
Stumpert.. Ga je ook nog een keer inhoudelijk antwoorden of blijft je hier over door janken?

Sorry, was een retorische vraag.. Je weet toch niet waar je het over hebt dus maakt het eigenlijk ook niet uit..
10-10-2008, 21:29 door Anoniem
http://en.wikipedia.org/wiki/List_of_Linux_computer_viruses
13-05-2009, 17:26 door Anoniem
okee en nu maar weer terug naar ububu 9.04 is uit gekomen in april 2009, stuuur maar een virusje spyware of andeer troep naar mij frwwalll is uit!!!!!!!!!!!!!!

de messte mennsen draaaien xp/vista, dus oud nieuws over win 95/98 negeer ik gewoon!!!!!!!!! dus ook bij linux!!!!!!!!!!!


MAAR VOOR BIJ BLIJFT LINUX DE BESTE, en heerlijk de nieuwe EXT4 IN UBUNTU!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.