Descoberto novo vírus para Linux

Vinícius Vieira 11/07/2012 11

Um novo malware foi detectado em um arquivo JAR auto-assinado, como parte de um ataque de engenharia social para obter backdoor em Sistemas Operacionais. O arquivo JAR, que parece ter sido gerado pelo TrustedSec, um Toolkit de Engenharia Social, está implantando malwares no Windows, Mac OS X e no Linux.Se o usuário desavisado permite a execução do JAR, ele baixa um shell backdoor específico para a plataforma.

Cada uma das diferentes versões do shell se comporta da mesma forma, ligando-0 de volta com uma porta (8080 no Mac OS X, 8081 no Linux e 8082 no Windows) no endereço IP 186.87.69.249 (que parece ser um IP alocado dinamicamente, pertencente a uma empresa de cabeamento estruturado).

A versão para Linux deste vírus não é nova, mas tem sido recorrentemente usada por criminosos. Com relação as medidas de segurança que você pode tomar para se proteger desta (e outras ameaças), NUNCA dê permissão de execução para arquivos ou aplicações que você não conhece, e tome muito cuidado com o permissionamento recursivo a diretórios. Um exemplo claro disso é o famoso comando chmod -R 777 que dá plenos poderes de leitura, escrita e execução de forma recursiva em diretórios do sistema.

Fonte

Quer continuar por dentro das novidades do Blog Seja Livre? Siga o nosso perfil no TWITTER, curta a nossa página no FACEBOOK ou adicione o Blog Seja Livre nos seus círculos do GOOGLE+. Se você usa ORKUT, nós também estamos lá, inclusive no IDENTI.CA e Linkedin.

TAGS » backdoor, linux, malware, trojan, virus

Postado em » Segurança

Sobre o autor: Vinícius Vieira Leia outros posts de Vinícius Vieira

Blogueiro, fundador do Blog Seja Livre, Nerd inveterado, louco por Linux e músico nas horas vagas. Atualmente é o Editor Chefe, Consultor de SEO e Webdesign do Seja Livre, e possui algumas certificações em Linux e Administração de Redes. É usuário Ubuntu e membro do LoCo Team Ubuntu-BR-SP e da Comunidade Ubuntu-BR.

http://Seusite... Rafael

Nem todo malware é vírus. Aliás, vírus propriamente dito é uma coisa que eu não vejo há muito tempo. E, não, antivírus para Linux não é imprescindível, embora não seja inútil.
http://Seusite... GUiHKX

Baixei o binário e executei… ele faz requisições estranhas a cada ~2 segundos para o IP 186.87.69.249 usando a porta 8081 (serviço sunproxyadmin). É estranho porque ele só faz requisição, mas não recebe resposta alguma. E após 1 minuto de execução, ele dá SEGFAULT.

O binário tem apenas 134 bytes…
http://rafaelneri.net Rafael Neri

Acho que o título deveria ser: “Descoberto novo vírus multiplataforma” ou “Descoberto novo vírus para máquinas java”
- http://Seusite... alisson
  
  Mas ai eles não ganharia nosso page view xD
  não uso java muito só o openoffice mas fica a dica e vamos evitar o java rsrs
  - Vinícius Vieira
    
    Olá minha gente!
    
    A ideia não é ganhar pageview, e sim mostrar que realmente existe vírus para Linux, ao contrário do que muitas pessoas pensam e afirmam.
    
    Se eu coloco “Descoberto novo vírus multiplataforma” ou “Descoberto novo vírus para máquinas java”, ia ter gente que diria:
    
    – “Esse site não é de Linux? Pq fica falando de vírus ou coisas de outros SOs?
    
    Sacaram?
    
    Mas falando sério galera, realmente é importante se proteger. O uso de sistemas como o ClamAv são imprescindíveis atualmente. ou ainda soluções como a que o Thiago Holmes apresentou nos comments via Facebook ai acima.
    
    Vlw!
    - http://Seusite... alisson
      
      Eu so estava brincando xD
      eu vim achando que seria uma coisa bem elaborada quem levantaria questões sobre a forma que protegemos o linux hoje, mas era só um problema comum, que se resolve com prevenção, pior se fosse algo do tipo “rm -rf ~/” ae daria uma dor de cabeça (ou não)
    - Leonardo
      
      Olha… Isso não é um vírus. Muito menos para Linux. E se você tiver habilitado o SELinux enforced, aí mesmo que não terá problema NENHUM.
      
      O Linux ainda não precisa de anti-vírus.
      
      PS: O meu pageview você ganhou com o título. ;-)
      - http://sejalivre.org Vinícius Vieira
        
        Olá Leonardo!
        
        Vamos lá… vou esquecer que sou profissional de segurança e trabalho com isso diariamente, e vou falar apenas como blogueiro.
        
        Primeiro: isso é sim um vírus, assim como qualquer outro malware. Leia este artigo publicado pela F-Secure, a empresa que o descobriu http://www.f-secure.com/weblog/archives/00002397.html
        
        Segundo: peço que leia este artigo http://stackoverflow.com/questions/2231735/selinux-prevents-java-from-running e repare que o SELinux deve ser configurado para validar os binários do Java,e depois de feito isso, o Java (e suas aplicações) poderão rodar sem problemas.
        
        Note que o malware que citei no artigo roda sob máquina Java, ou seja, o SELinux irá permitir a sua execução normalmente, tendo em vista que é uma requisição vinda do Java.
        
        A única forma de se prevenir a este tipo de ataque é não autorizar conteúdo Java a rodar automaticamente. Porém note também que a grande maioria dos sites da web (assim como este) roda várias e várias instâncias Java (ou .js) durante o carregamento das páginas. Se você abrir uma página infectada e seu browser carregar uma instância Java em background sem a sua permissão (o que acontece muito e normalmente), você tem uma backdoor aberta, permitindo o criador/manipulador do malware agir na sua máquina sem você saber.
        
        Nós, usuários Linux, temos que parar de nos enganarmos e entendermos de uma vez por todas que existe vírus para linux sim! A diferença é que os números são infinitamente menores que para Windows e bem menores que nos MACs.
        
        Só para você ter uma ideia, os sistemas MAC usam quase as mesmas políticas de segurança de SO que o Linux, até por que o kernel darwin, que é o kernel do MAC, é baseado em Unix também, assim como o kernel Linux, e mesmo assim são suscetíveis a infecção por vírus… ou seja, no nosso universo (MAC e Linux) o melhor antivírus ainda é o usuário, que precisa permitir ou negar acesso/execução ao que quer ou deixa de querer.
      - http://Seusite... Leonardo
        
        Prezado Vinicius Vieira,
        
        Eu não sei qual a dificuldade que as pessoas tem de assumir suas posições. Eu não vou esquecer meus 20 anos de experiência com linux (desde o kernel 1.2.13), internet, Segurança da Informação, programação, microinformática etc.
        
        Toda esta discussão roda em torno do seguinte fato: Um malware para o Linux. OK. Agora, dizer que é um vírus?? Sério, vocês estão comparando este malware com qualquer outro vírus do windows? O windows, que nasceu sem qualquer controle de execução, controle de usuário, e que precisa de um anti-vírus desde a época do DOS? Que nem multi-tarefa era(até o NT). Precisava dos TSR. Se você vai fazer esta comparação, ok. Fique à vontade.
        
        E, quando eu me referi ao SELINUX, não era em termos de execução. Executou, já era. Porém, no caso deste malware, quando ele tentasse estabelecer conexão via porta 8081, o SELINUX não permitiria. Mas isso seria somente contenção de dano.
        
        Abraços,
http://twitter.com/hiper4tivo @hiper4tivo

Mas de onde surgiria esse suposto JAR?
- Vinícius Vieira
  
  Da mesma forma como qualquer outro malware/trojan: você poderia recebê-lo por email, carregamento de sites com conteúdo em .js (JavaScript), compartilhamento de mídias removíveis e etc.