Ny Linux-'virus' Linux.BtcMine.174.

Har du en guide til en funktion eller et program? Har du tips og trick, som du gerne vil dele med andre? Post dem her.
Klaus Rasmussen
Admin
Indlæg: 5604
Tilmeldt: 26. apr 2010, 02:40
IRC nickname: ClaudiuS
Geografisk sted: Nyborg [fyn]

Ny Linux-'virus' Linux.BtcMine.174.

Indlæg af Klaus Rasmussen »

Skræmmende nyt fra den front:

Det er ikke ofte, man hører om malware på Linux-platformen, men nu er der et nyt tilfælde. Blandt andre nettstedet ZDNet melder om en ny type Linux-malware med et væld af skumle funktioner.

Malwaren, som er ganske sofistikeret, blev opdaget af det russiske antivirus-selskab Dr. Web og har fået navnet Linux.BtcMine.174.
Graver efter kryptovaluta

Det nye program er en trojaner, som først skaffer sig fodfæste på pc'en ved at finde mapper, hvor det har skrivetilladelse, så det kan kopiere sig selv og downloade flere moduler.

Derefter udnytter programmet et par såkaldte 'privilege escalation'-huller, som giver root-privilegium og fuld adgang til operativsystemet.

Programmet smyger sig også ind på listen over autokørsler og installerer et rootkit-program, som ifølge sikkerhedsforskerne kan bruges til at stjæle passwords, som skal udføre såkaldte su-kommandoer, altså kommandoer, som udføres med superbrugerrettigheder.

Trojanerens primære funktion er at mine kryptovaluta, hvilket efterhånden er et kendt fænomen. Kryptovalutaen, der graves efter, er Monero, som også en del andre kryptominere den seneste tid har vendt sig mod.
Sætter rivaliserende programmer og antivirus ud af spillet

Ud over at grave efter Monero har det nye program også den egenskab, at det scanner systemet og sætter rivaliserende kryptominere ud af spillet. Men ikke nok med det.

Den nye Linux-malware er også i stand til at hindre funktionalitet i Linux-baserede antivirusprogrammer, som er baseret på procesnavne, som associeres med sådanne programmer. Dermed kan det altså operere uforstyrret.

Og endelig er softwaren også i stand til at downloade et andet program - en trojaner som er den del af en velkendt malwarefamilie, som blandt andet anvendes til at udføre DDoS-angreb.

Programmet spreder sig selv gennem en funktion, som samler information om alle de servere, som den inficerede vært er opkoblet til via SSH-protokollen. Det er i skrivende stund ubelyst præcist, hvordan man kan forhindre spredningen.
Artiklen er fra digi.no.


Kilde: https://www.version2.dk/artikel/ny-linux-virus-graver-efter-kryptovaluta-stjaeler-root-passwords-saetter-antivirus-ud?

Mere teknisk information findes hos Dr. Web, som var det firma der fandt monstret.
https://vms.drweb.com/virus/?i=17645163&lng=en

Hvis du har lyst til at prøve deres "free for home" Antivirus program (543,4 Mb):
32 bit:

Kode: Vælg alt

wget https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/drweb-11.0.6-av-linux-x86.run

64 bit:

Kode: Vælg alt

wget https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/drweb-11.0.6-av-linux-amd64.run

Installation af program:

Kode: Vælg alt

sudo sh ./drweb-11.0.6-av-linux-amd64.run

NB: Pas på med Spider Gate, den fjernede min internetforbindelse.

Manual er her:

Kode: Vælg alt

wget https://download.geo.drweb.com/pub/drweb/unix/workstation/11.0/documentation/drweb-11.0-av-linux-en.pdf

Tror lige jeg vil prøve det, selvom det rykker lidt i nakkehårene ved i disse tider at installere noget russisk.

Malware'en udnytter 2 kendte svagheder i Linux-kernen: CVE-2016-5195 og CVE-2013-2094. Der kan læses mere om disse, her:
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
https://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-2094.html
Med Venlig Hilsen
Klaus

Kører Ubuntu 24.04.1 på ASUS All-Series, og Probook 4520s.
Gratis Ubuntumagasin: http://fullcirclemagazine.org/
https://mega.nz/folder/aJsmCYKa#dxMHKTi4Idmz6hiVpsI68Q
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Ny Linux-'virus' Linux.BtcMine.174.

Indlæg af AJenbo »

Så er vi ved at være et anerkendt styre system :P
thj01
Indlæg: 2667
Tilmeldt: 21. nov 2006, 10:06
Geografisk sted: Fredericia

Re: Ny Linux-'virus' Linux.BtcMine.174.

Indlæg af thj01 »

Jeg synes altså at den artikel virker lidt underligt.

Google man på navnet: Linux.BtcMine.174, så finder man meget få artikler

Min pointe er, at det i mine øjne er voldsomt overkill at installere en virusscanner for at se om denne "malware" er på ens maskine.

"Derefter udnytter programmet et par såkaldte 'privilege escalation'-huller, som giver root-privilegium og fuld adgang til operativsystemet."

Her kommer det interesante ... for hvad er det for nogle huller. Hvilke programmer/kerner/?? findes de i?

Der er mere FUD i denne artikel end der er viden.
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html

Kører LTS udgaverne.

"It's always easy if you know how to do it."