image

Nieuwe Linux-malware richt zich op eindgebruikers

vrijdag 21 oktober 2016, 12:08 door Redactie, 15 reacties

Linux-malware is nog altijd vrij zeldzaam in vergelijking met malware voor Windows en richt zich daarbij meestal op servers. Het Russische anti-virusbedrijf Doctor Web meldt echter dat het een backdoor voor Linux heeft ontdekt genaamd "FakeFile" die het op eindgebruikers heeft voorzien.

Volgens de virusbestrijder wordt de malware "naar het schijnt" als gearchiveerd pdf-, Microsoft Word- of OpenOffice-bestand verspreid. Wanneer geopend slaat de malware zichzelf op in een directory in de home directory van de gebruiker. Vervolgens opent de malware een document als afleiding om de gebruiker niets te laten vermoeden. In de achtergrond wordt er informatie naar de aanvaller teruggestuurd en kan die verschillende taken op de computer uitvoeren. De malware heeft geen rootrechten nodig om te functioneren.

Reacties (15)
21-10-2016, 13:45 door Anoniem
Hmmm dit is wel heel dubieus. Maar als ik het zo lees moet het systeem hebben:
- Gnome
- gedit
- ~/.gconf/apps/gnome-common/gnome-common

Ik gebruik KDE en heb ze alle drie niet namelijk.
21-10-2016, 14:50 door karma4
Malware voor servers met Linux is vrij gewoon en zeer lucratief.
21-10-2016, 16:20 door Anoniem
Snel update voor de overheid inbreekt.
21-10-2016, 22:59 door Anoniem
Door karma4: Malware voor servers met Linux is vrij gewoon en zeer lucratief.

Malware voor servers met Linux is vij ongewoon en niet lucratief.

Karma4, normaal staan je postings VOL met links maar juist nu ontbreekt het weer naar een bron dat malware voor Linux gewoon zou zijn.

Ik zeg niet dat er geen malware is maar gewoon is het zeer zeker niet. Net zo min als voor OS-X/MacOS
22-10-2016, 15:49 door karma4 - Bijgewerkt: 22-10-2016, 15:59
Door Anoniem: Ik zeg niet dat er geen malware is maar gewoon is het zeer zeker niet. ...
Ik neem aan dat de vele webservers (gewoonlijke LAMP stacks) welke gehackt zijn/worden geen links nodig hebben net zoals PHP Wordpress Magento Adware en meer van dat soort zaken. "servers met Linux" is een eco-systeem zoals de hadoop dierentuin als een onderdeel. Mongo_db was bijvoorbeeld regelmatig verbonden met het lekken van data.
Wat links: https://www.wordfence.com/blog/2016/04/hackers-compromised-wordpress-sites/ dan wel http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/
en https://www.wired.com/2016/06/xdedic-server-trading-forum-kaspersky/ 70k servers RDP voor admin uh remote admin werk over internet, serieus? Wie heeft dat high privileged over open internet toegestaan, het zal een kosten effectieve beslissing voor korte termijn visie zijn.
22-10-2016, 16:01 door Anoniem
Door karma4: Malware voor servers met Linux is vrij gewoon en zeer lucratief.
Man man... wat zit je toch weer uit je nek te zwetsen. Het tegendeel is het geval. De Linux übertrol weer in de bocht.

Verder: die Dr. Web bevindingen zijn pure bangmakerij, met als doel hun producten aan te schaffen. Want toevallig hebben ZIJ dé oplossing voor het probleem: installeer Dr. Web!

In de achtergrond wordt er informatie naar de aanvaller teruggestuurd en kan die verschillende taken op de computer uitvoeren. De malware heeft geen rootrechten nodig om te functioneren.

Een bestand kan zichzelf zonder rootrechten activeren? Die ben ik nog nooit tegengekomen. Ik moet als eindgebruiker namelijk ZELF een bestand rechten toewijzen zodra het mijn systeem binnenkomt.

Een hoop FUD en bangmakerij als je het mij vraagt. Die Dr. Web heeft er de laatste tijd wel een handje van. Nou, mooi dat ik GEEN Dr. Web op mijn Linuxbakken wil hebben. Wat wel? Gezond verstand....
22-10-2016, 16:05 door Anoniem
Dr. Web weer. Zij werpen zich op als "redder-van-de-Linux-dombo's". Ik geloof er geen snars van.

Ik heb eens gekeken op hun site: Dr. Web antivirus voor Linux is trouwens bijna 535MB groot en is een .run-bestand. Wat haal je dan in godesnaam binnen? Serieus? 535MB????
22-10-2016, 17:30 door Anoniem
Ik mis iets. Hoe wordt deze trojan precies geactiveerd? Het is kennelijk een ELF-bestand dat wordt verspreid als "archived PDF", MS-Office of OpenOffice-bestand. Ik weet om te beginnen niet wat met "archived PDF" wordt bedoeld. Bedoelen ze PDF/A? Bedoelen ze PDF in een ZIP-bestand? Hoe wordt het precies "verspreid als"? Zit het op de een of andere manier ingebed in zo'n bestand of hebben ze alleen de extensie aangepast?

Als ik een uitvoerbaar bestand dat in een GUI-omgeving een zichtbaar effect heeft hernoem naar PDF, de executable-rechten eraf haal, een bestandsbeheerder (thunar) start en het probeer te openen krijg ik een lege PDF-viewer voor mijn neus en niet het zichtbare effect dat uitvoeren van de executable zou hebben. Als ik het zip en vanuit thunar via file-roller open krijg ik hetzelfde resultaat.

Dus wat doet men om deze ELF-executable te starten zonder dat de gebruiker door heeft dat hij een executable start? Als dat niet geregeld is vindt de besmetting om te beginnen al niet plaats.
22-10-2016, 17:59 door Anoniem
Door karma4: Ik neem aan dat de vele webservers (gewoonlijke LAMP stacks) welke gehackt zijn/worden geen links nodig hebben net zoals PHP Wordpress Magento Adware en meer van dat soort zaken. "servers met Linux" is een eco-systeem zoals de hadoop dierentuin als een onderdeel.
Vanochtend schreef je nog bij een ander artikel:
Als we serieus met security bezig willen zijn zou dit een kantelpunt moeten zijn om de OS-flamings te gaan vergeten.
En je gaat zelf vrolijk door...

"Servers met Linux" draaien niet automatisch een LAMP-stack, of Wordpress, of Hadoop of wat dan ook. Ik ken "servers met Linux" die Apache draaien en geen PHP, geen contentmanagementsystemen, geen DBMS'en, want daarvoor gebruiken sommigen gescheiden applicatieservers die bewust niet rechtstreeks aan het internet hangen.

Het punt is niet dat er geen servers zijn waarop bagger wordt gedraaid. Alleen zitten de lekken waar je aan refereert in de bagger, of in slecht beheerde websites, en niet in Linux an sich (het compromitteren van Mint is beschamend maar gelukkig een zeldzame uitzondering). Als er een lek in Oracle of in DotNetNuke zit, of als een OEM Windows geïnstalleerd en wel distribueert en daarbij malware meelevert, dan ga je toch ook niet zeggen dat Windows niet deugt? Die OEM's en die softwareprodukten zijn wel degelijk onderdeel van het Windows-"ecosysteem", dus "computers met Windows" deugen niet als een van die softwarecomponenten of distributiekanalen niet deugt, volgens de maatstaven die jij kennelijk voor Linux hanteert.

Je wakkert flame wars aan door dingen niet bij hun naam te noemen tot er iemand op gereageerd heeft. Als je meende wat je schreef over OS-flamings, kijk dan eens kritisch naar hoe je zelf communceert.
23-10-2016, 12:29 door [Account Verwijderd]
[Verwijderd]
23-10-2016, 12:30 door [Account Verwijderd] - Bijgewerkt: 23-10-2016, 12:33
[Verwijderd]
24-10-2016, 20:18 door Anoniem
Door karma4:
Door Anoniem: Ik zeg niet dat er geen malware is maar gewoon is het zeer zeker niet. ...
Ik neem aan .... <knip>

Ok, ik ben al klaar met lezen, assumption is the mother of all fuckups k arm a4'tje.
24-10-2016, 20:39 door Anoniem
Door Rinjani: Voor het professionelere werk voornamelijk Java EE application servers.
Mainframes zijn ook nog niet uitgestorven, en daar zijn ook webinterfaces voor geplaatst.
24-10-2016, 22:25 door Anoniem
Door Anoniem: Dr. Web weer. Zij werpen zich op als "redder-van-de-Linux-dombo's". Ik geloof er geen snars van.

Ik heb eens gekeken op hun site: Dr. Web antivirus voor Linux is trouwens bijna 535MB groot en is een .run-bestand. Wat haal je dan in godesnaam binnen? Serieus? 535MB????

Wat je binnen haalt is natuurlijk malware:) Dr-web post wel eens vaker van die boodjes aap verhalen.
24-10-2016, 22:30 door Anoniem
Ik mis iets. Hoe wordt deze trojan precies geactiveerd?.
Dat ga je niet horen want het is een boordje aap verhaal. Malware komt alleen binnen als readonly
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.