BackDoor.Wirenet.1 – wirus atakujący Linuksa i Maca

BackDoor.Wirenet.1 – wirus atakujący Linuksa i Maca

    przez -
    35 654
    Wirus
    Rosyjska firma Doctor Web, zajmująca się produkcją oprogramowania antywirusowego, poinformowała o pojawieniu się groźnego trojana typu BackDoor – BackDoor.Wirenet.1. Wirus działa na systemach Linux i Mac OS X, a jego głównym celem jest wykradanie haseł z przeglądarek internetowych: Opera, Chrome, Firefox, Chromium oraz aplikacji Thunderbird, SeaMonkey i Pidgin.

    Po uruchomieniu BackDoor.Wirenet.1 tworzy kopię w katalogu domowym użytkownika, uruchamia swój wbudowany keylogger i komunikuje się ze swoim serwerem pod adresem 212.7.208.65. Dodatkowo cała komunikacja pomiędzy maszynami jest szyfrowana algorytmem AES.

    Aktualizacja 29 sierpnia 2012 roku

    Jeden z czytelników miał bezpośredni kontakt z opisanym zagrożeniem:
    Artur Głowacki

    Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

    A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

    I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

    Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.

    • Jakby ktoś pytał to IP jest z Polski :D

      Link: http://pastebin.com/bUui4Rq8

      • Pewnie to jakiś komputer typu Zombie, który jest zainfekowany serwerem dla tego robaka.

    • Greg

      A podobno na Linuksa nie ma wirusów. Taki to zajebisty system. I co? Buahahaha!

      • Od dawna było wiadome, że są robaki, tylko były one mało szkodliwe. Ten jak widać wykorzystuje jakiś inny sposób, aby obejść zabezpieczenia. Dlatego ważne jest posiadania zapory sieciowej i wyłączenie Javy oraz ewentualnie JavaScript w przeglądarce.

      • Czytelnik

        Tylko jeden jak widzisz a na Windowsa jest klika nowych ale dziennie!

      • o_O

        I jajco matole. Pogugluj zanim się ośmieszysz. Albo poczytaj inne komenatarze.

    • Tomik

      To jakiś routerek śmieszny jezt chyba :P

      Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 09:45 UTC
      Nmap scan report for 212.7.208.65
      Host is up (0.076s latency).
      Not shown: 998 closed ports
      PORT STATE SERVICE
      22/tcp filtered ssh
      80/tcp filtered http
      Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
      Device type: webcam|specialized|remote management|printer|switch|router|WAP
      Running (JUST GUESSING): D-Link embedded (92%), Hioki embedded (92%), HP iLO (92%), Panasonic embedded (92%), Symbol embedded (92%), USRobotics embedded (92%), Asus embedded (91%), Sensatronics embedded (91%)
      Aggressive OS guesses: D-Link DCS-3220 webcam (92%), Hioki MEMORY HiCORDER 8855 digital oscilloscope (92%), HP iLO 2 remote management interface (92%), HP iLO or iLO 2 remote management interface (92%), HP ProLiant DL320 iLO 2 remote management interface (92%), HP ProLiant DL320s or ML310 iLO remote management interface (92%), Panasonic DB-3500 series printer (92%), Panasonic KX-HCM270 Network Camera (92%), Symbol AP-3021 switch (92%), USRobotics USR8000 broadband router (92%)
      No exact OS matches for host (test conditions non-ideal)

      • Możliwe, że to taka sieć TOR, aby trudniej było wykryć prawdziwą lokalizację maszyny :)

    • Nie ma co na razie trząść tyłkami. Puki co wirus bardziej keylogger jest badany i wiadomo, że nie ukrywa się aż tak strasznie. Tworzy katalog w katalogu użytkownika do którego kopiuje zawartość całego home. Zapewne sam nie może się uruchomić i potrzebuje do tego celu jakąś inna aplikację lub skrypt. Nic poza tym że coś takiego Ruscy znaleźli nie wiadomo. Czekam na więcej informacji :)

      • Kenji

        Kopiuje cały HOME? LOL. Toż ja nie mam tyle miejsca na /home, żeby zrobić jego kopie na "sobie" :-). To są grube gigabajty.

    • arek

      Trudność wykrycia:

      В MacOS: в папку %home%/WIFIADAPT.app.app

      В Linux: в ~/WIFIADAPT

      Folder nawet nie zaczyna się od kropki…

      BTW, on nie musi przełamywać zabezpieczeń. Instaluje się tylko u usera w folderze i pewnie po prostu odpala.

      A wirusy zawsze były są i będą na wszystkich platwormach. Kwestia ilości.

      • Tomik

        Czyli jacyś lamerzy pisali ten kod ;P

      • Tak tylko musi być jakaś akcja przez użytkownika aby uruchomić to i zainstalować na komputerze. Oczywiście zaraz pod info Dr.Web którzy niby odkryli mamy możliwość zakupienia ich wersji programów na OS X i Linuksa
        Moim zdaniem za mało informacji podali. Takie firmy jak Kasperski czy Norton ładnie opisują jak dochodzi do infekcji itp. a tu jakoś ubogo

    • gunter

      Ale gdzie ten wirus , gdzie można go pobrać , jakiś kod coś do analizy , bazę wirusów mają na Windowsa całkiem znośną , a tu jak zwykle tylko szczotkowy opis że jest .

      Kiedyś pobrałem LiveCd tej firmy , przeniosłem to na USB i przetestowałem . No prawdziwy Dr.Web co zrobił ,wyczyścił mi kilka partycji do zera , dosłownie wyzerował mi dysk ( tylko na USB tak robi ) .Ja dziękuje za ich analizy gdzie ten kod .

      • gunter

        oczywiście miało być – szczątkowy

    • Garrappachc

      Pojawił się jeden wirus to już wszyscy trąbią ;) I tak powinno być.

    • Kenji

      Rozumiem, że nadal to JA muszę go uruchomić? To co to za wirus? Keyloggerów na każdym systemie można znaleźć co najmniej kilka, dorobienie do nich opcji wysyłania "gdzieś tam" nie jest żadnym problemem…
      Poza tym pisanie na własnej stronie "newsa", w którym odwołuje się do siebie jak do zewnętrznej firmy wygląda… dziwnie (mam tu na myśli dr.web).

      • cirilo

        Również wg mnie to jest jakieś podejrzane ;)

    • marcinsud

      Ja wiem, że w potocznej mowie przyjęło się mówić wirus na wszystko co robi szkodę na komputerze, ale z opisu jasno wynika, że wirus to to nie jest. Tak więc proponuję się trzymać prawidłowego nazewnictwa, szczególnie w tytule

      • Jutro będą na 20 serwisach pisali "Są wirusy na Linuksa!!!", a wszystko przez niechlujstwo jednego człowieka z OSWorld:) Gdzie jak gdzie, ale tu się takiej wtopy nie spodziewałem.

      • Tomik

        No i dobrze, że się tak przyjęło. Nie każdy jest geniuszem komputerowym i na szczęście nie musi być taki jak Ty.

        kwahoo wtopą jest Twój komentarz. Daruj sobie i idź trollować dobreprogramy.

      • marcinsud

        Różnica taka, że wirus (tak jak w życiu z komórkami) sam się powiela i zaraża inne pliki, ten program tego nie robi. Kwestia rzetelności dziennikarskiej i albo ktoś chce, albo nie. Geniuszem żadnym nie jestem, a dla ludzi 'niekomputerowych' powstało określenie malware lub swojskie złośliwe oprogramowanie zawierające w sobie cały szereg różnych paskudztw.

      • Ale Twoje zdanie najczęscie małokogo interesuje. Przynajmniej nie mnie. Dla mnie to jest wirus tak jak dal 90% użytkowników. Tak więc proponuję Ci zgłosić błąd w formularzu a nie jak zwykle się wymądrzać. Polaczek.

      • Boom

        Tylko się wymądrza i twierdzi, że ma wszystko w nosie. Polaczek

      • Gerard Stańczak

        różnica taka jak przy nazywaniu GNU/Linuksa potocznie linuksem.
        albo denerwujących i mało sensownych komentarzy spamem

        innymi słowy, nie zawsze trzeba być doskonałym, czasem lepiej używać mowy potocznej

      • Nie, to tak jak nazywanie petardy bombą. Nazwa określa skalę zagrożenia.

    • Mitras

      Samo go chyba napisali dla rozgłosu :D

    • o_O

      Skoro trzeba go ręcznie uruchomić i nie potrafi infekować, to nie jest wirus, tylko zwykły program.
      Wirusy to są na windowsie, gdzie bugi w systemie i oprogramowaniu microsoftu pozwalają wykonywać kod bez wiedzy użytkownika i zarażać system i rozprzestrzeniać złośliwy kod bez wiedzy użytkownika, np. zarażając (dostępne na kulawo zaprojektowanym windowsie w trybie pełnego zapisu do systemu plików) pamięci USB.

      • Artur Głowacki

        Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

        A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

        I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

        Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.

      • Dallias

        Jak go usunąłeś? Gdzie sie on zaszywa? Mam takie same połączenia. Pracuję na MacOSX

      • Interesujące to jest. A pamięci USB, czy pobieranie plików z internetu?

    • etherghost

      Calkiem mozliwe ze jest rozprowadzany manualnie.

    • fakeroot

      Czy on jest dodany do bazy rootkitów w rkhunter i chakerootkit lub będzie w przyszłości dodany? A może raczej nie kwalfikuje się do rootkitów więc nigdzie go nie dodadzą?

      • mojo

        to chyba Albański wirus…

    • nonono

      Dobra jak usunąć tego trojana z desktopa który wykrył chkrootkit?

      chkproc: Warning: Possible LKM Trojan installed