image

Windows-virus wist Linux-computers

donderdag 21 maart 2013, 09:40 door Redactie, 10 reacties

De malware die tegen verschillende Zuid-Koreaans banken en televisiemaatschappijen is ingezet, is niet alleen in staat om Windows-computers aan te vallen, ook beschikt het over een speciale module om Linux-machines te wissen. Gisteren werden verschillende Zuid-Koreaanse organisaties het doelwit van aanvallen waarbij websites werden beklad, servers gehackt en harde schijven gewist.

Een Trojaans paard genaamd 'Jokra' was volgens Symantec verantwoordelijk voor het overschrijven van de Master Boot Record van de harde schijf van besmette computers. Die konden hierdoor niet meer worden opgestart. Verder onderzoek wijst uit dat de malware een aanvullende module downloadt om Linux-computers te wissen.

Linux
"Normaal zien we geen onderdelen die op meerdere besturingssystemen werken, het is dus een interessante ontdekking dat de aanvallers een onderdeel om Linux-machines te wissen aan een Windowsdreiging toevoegden", zo laat het anti-virusbedrijf weten. De module in kwestie controleert of de besmette Windows 7 en Windows XP computers over een applicatie genaamd mRemote beschikken.

Dit is een open source programma om op afstand op computers in te loggen. De malware gebruikt de gegevens van deze applicatie om met de Linux-computers verbinding te maken.

Daar wordt vervolgens een bash-script met wiscommando's uitgevoerd. Dit commando wist de /kernel, /usr, /etc en /home directories op de machine. Wie er achter de malware zit is nog altijd onbekend.

Reacties (10)
21-03-2013, 09:47 door svenvandewege
"Windows-virus wist Linux-computers
"


Geweldig. Ga zo door!
21-03-2013, 10:14 door SirDice
Mooi, met BSD weet 't klaarblijkelijk geen raad :D
21-03-2013, 10:25 door AcidBurn
Hilarious :-)
21-03-2013, 11:25 door Anoniem

mv /bin/uname /bin/joeneem
cat <<EOF >/bin/uname
#!/bin/sh
joeneem "\$@" | perl -pe "s/Linux/Loenix/"
EOF
chmod 755 /bin/uname

$ uname -s
Loenix
21-03-2013, 11:28 door [Account Verwijderd]
[Verwijderd]
21-03-2013, 12:30 door Anoniem
Vind ik geen gek idee Kourtisanne. Met een USB flashdrive met Linux erop ben je zo weer online.

Goede tip! :-)
21-03-2013, 12:36 door Rasalom
Vast een hele domme vraag, maar hoe denkt dat virus aan execute rechten te gaan komen? Of is dit ook weer zo'n Belgische variant, waarbij je door een paar brandende hoepels moet springen om het te kunnen oplopen?
21-03-2013, 13:17 door Anoniem
Door Rasalom: Vast een hele domme vraag, maar hoe denkt dat virus aan execute rechten te gaan komen? Of is dit ook weer zo'n Belgische variant, waarbij je door een paar brandende hoepels moet springen om het te kunnen oplopen?

De malware gaat er vanuit dat de windows gebruiker mRemote heeft ingesteld om automatisch op de linux server in te loggen met de maximale rechten.

Peter
21-03-2013, 13:23 door Anoniem
Hastati (enkelvoud) Hastatus, waren speerwerpers in een Romeins legioen. Later werden ze zwaardvechters.
Maar leuk is dat de virusschrijver niet goed met het Latijn om kan gaan. Het woord PRINCEPS (een titel van de Romeinse keizers) is namelijk verkeerd geschreven. Er staat in de code PRINCPES.
21-03-2013, 13:30 door SirDice
Door Rasalom: Vast een hele domme vraag, maar hoe denkt dat virus aan execute rechten te gaan komen? Of is dit ook weer zo'n Belgische variant, waarbij je door een paar brandende hoepels moet springen om het te kunnen oplopen?
De module in kwestie controleert of de besmette Windows 7 en Windows XP computers over een applicatie genaamd mRemote beschikken.
Die mRemote software is al sinds 2009 dood. En als ik de screenshots bekijk dan gok ik er zo maar op dat account gegevens niet beveiligd worden opgeslagen. Als je dan vervolgens standaard als root inlogt (en 't wachtwoord in mRemote hebt opgeslagen) ben je goed de sjaak.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.