Det er ikke ofte, man hører om malware på Linux-platformen, men nu er der et nyt tilfælde. Blandt andre nettstedet ZDNet melder om en ny type Linux-malware med et væld af skumle funktioner.
Malwaren, som er ganske sofistikeret, blev opdaget af det russiske antivirus-selskab Dr. Web og har fået navnet Linux.BtcMine.174.
Graver efter kryptovaluta
Det nye program er en trojaner, som først skaffer sig fodfæste på pc'en ved at finde mapper, hvor det har skrivetilladelse, så det kan kopiere sig selv og downloade flere moduler.
Derefter udnytter programmet et par såkaldte 'privilege escalation'-huller, som giver root-privilegium og fuld adgang til operativsystemet.
Programmet smyger sig også ind på listen over autokørsler og installerer et rootkit-program, som ifølge sikkerhedsforskerne kan bruges til at stjæle passwords, som skal udføre såkaldte su-kommandoer, altså kommandoer, som udføres med superbrugerrettigheder.
Trojanerens primære funktion er at mine kryptovaluta, hvilket efterhånden er et kendt fænomen. Kryptovalutaen, der graves efter, er Monero, som også en del andre kryptominere den seneste tid har vendt sig mod.
Sætter rivaliserende programmer og antivirus ud af spillet
Ud over at grave efter Monero har det nye program også den egenskab, at det scanner systemet og sætter rivaliserende kryptominere ud af spillet. Men ikke nok med det.
Den nye Linux-malware er også i stand til at hindre funktionalitet i Linux-baserede antivirusprogrammer, som er baseret på procesnavne, som associeres med sådanne programmer. Dermed kan det altså operere uforstyrret.
Og endelig er softwaren også i stand til at downloade et andet program - en trojaner som er den del af en velkendt malwarefamilie, som blandt andet anvendes til at udføre DDoS-angreb.
Programmet spreder sig selv gennem en funktion, som samler information om alle de servere, som den inficerede vært er opkoblet til via SSH-protokollen. Det er i skrivende stund ubelyst præcist, hvordan man kan forhindre spredningen.
Artiklen er fra digi.no.
Kilde: https://www.version2.dk/artikel/ny-linux-virus-graver-efter-kryptovaluta-stjaeler-root-passwords-saetter-antivirus-ud?
Mere teknisk information findes hos Dr. Web, som var det firma der fandt monstret.
https://vms.drweb.com/virus/?i=17645163&lng=en
Hvis du har lyst til at prøve deres "free for home" Antivirus program (543,4 Mb):
32 bit:
Kode: Vælg alt
wget https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/drweb-11.0.6-av-linux-x86.run64 bit:
Kode: Vælg alt
wget https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/drweb-11.0.6-av-linux-amd64.runInstallation af program:
Kode: Vælg alt
sudo sh ./drweb-11.0.6-av-linux-amd64.runNB: Pas på med Spider Gate, den fjernede min internetforbindelse.
Manual er her:
Kode: Vælg alt
wget https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/documentation/drweb-11.0-av-linux-en.pdfTror lige jeg vil prøve det, selvom det rykker lidt i nakkehårene ved i disse tider at installere noget russisk.
Malware'en udnytter 2 kendte svagheder i Linux-kernen: CVE-2016-5195 og CVE-2013-2094. Der kan læses mere om disse, her:
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
https://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-2094.html
