BackDoor.Wirenet.1 – wirus atakujący Linuksa i Maca

BackDoor.Wirenet.1 – wirus atakujący Linuksa i Maca

przez -
35 891
Wirus

Rosyjska firma Doctor Web, zajmująca się produkcją oprogramowania antywirusowego, poinformowała o pojawieniu się groźnego trojana typu BackDoor – BackDoor.Wirenet.1. Wirus działa na systemach Linux i Mac OS X, a jego głównym celem jest wykradanie haseł z przeglądarek internetowych: Opera, Chrome, Firefox, Chromium oraz aplikacji Thunderbird, SeaMonkey i Pidgin.

Po uruchomieniu BackDoor.Wirenet.1 tworzy kopię w katalogu domowym użytkownika, uruchamia swój wbudowany keylogger i komunikuje się ze swoim serwerem pod adresem 212.7.208.65. Dodatkowo cała komunikacja pomiędzy maszynami jest szyfrowana algorytmem AES.

Aktualizacja 29 sierpnia 2012 roku

Jeden z czytelników miał bezpośredni kontakt z opisanym zagrożeniem:
Artur Głowacki

Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.

  • Jakby ktoś pytał to IP jest z Polski :D

    Link: http://pastebin.com/bUui4Rq8

    • Pewnie to jakiś komputer typu Zombie, który jest zainfekowany serwerem dla tego robaka.

  • Greg

    A podobno na Linuksa nie ma wirusów. Taki to zajebisty system. I co? Buahahaha!

    • Od dawna było wiadome, że są robaki, tylko były one mało szkodliwe. Ten jak widać wykorzystuje jakiś inny sposób, aby obejść zabezpieczenia. Dlatego ważne jest posiadania zapory sieciowej i wyłączenie Javy oraz ewentualnie JavaScript w przeglądarce.

    • Czytelnik

      Tylko jeden jak widzisz a na Windowsa jest klika nowych ale dziennie!

    • o_O

      I jajco matole. Pogugluj zanim się ośmieszysz. Albo poczytaj inne komenatarze.

  • Tomik

    To jakiś routerek śmieszny jezt chyba :P

    Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 09:45 UTC
    Nmap scan report for 212.7.208.65
    Host is up (0.076s latency).
    Not shown: 998 closed ports
    PORT STATE SERVICE
    22/tcp filtered ssh
    80/tcp filtered http
    Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
    Device type: webcam|specialized|remote management|printer|switch|router|WAP
    Running (JUST GUESSING): D-Link embedded (92%), Hioki embedded (92%), HP iLO (92%), Panasonic embedded (92%), Symbol embedded (92%), USRobotics embedded (92%), Asus embedded (91%), Sensatronics embedded (91%)
    Aggressive OS guesses: D-Link DCS-3220 webcam (92%), Hioki MEMORY HiCORDER 8855 digital oscilloscope (92%), HP iLO 2 remote management interface (92%), HP iLO or iLO 2 remote management interface (92%), HP ProLiant DL320 iLO 2 remote management interface (92%), HP ProLiant DL320s or ML310 iLO remote management interface (92%), Panasonic DB-3500 series printer (92%), Panasonic KX-HCM270 Network Camera (92%), Symbol AP-3021 switch (92%), USRobotics USR8000 broadband router (92%)
    No exact OS matches for host (test conditions non-ideal)

    • Możliwe, że to taka sieć TOR, aby trudniej było wykryć prawdziwą lokalizację maszyny :)

  • Nie ma co na razie trząść tyłkami. Puki co wirus bardziej keylogger jest badany i wiadomo, że nie ukrywa się aż tak strasznie. Tworzy katalog w katalogu użytkownika do którego kopiuje zawartość całego home. Zapewne sam nie może się uruchomić i potrzebuje do tego celu jakąś inna aplikację lub skrypt. Nic poza tym że coś takiego Ruscy znaleźli nie wiadomo. Czekam na więcej informacji :)

    • Kenji

      Kopiuje cały HOME? LOL. Toż ja nie mam tyle miejsca na /home, żeby zrobić jego kopie na "sobie" :-). To są grube gigabajty.

  • arek

    Trudność wykrycia:

    В MacOS: в папку %home%/WIFIADAPT.app.app

    В Linux: в ~/WIFIADAPT

    Folder nawet nie zaczyna się od kropki…

    BTW, on nie musi przełamywać zabezpieczeń. Instaluje się tylko u usera w folderze i pewnie po prostu odpala.

    A wirusy zawsze były są i będą na wszystkich platwormach. Kwestia ilości.

    • Tomik

      Czyli jacyś lamerzy pisali ten kod ;P

    • Tak tylko musi być jakaś akcja przez użytkownika aby uruchomić to i zainstalować na komputerze. Oczywiście zaraz pod info Dr.Web którzy niby odkryli mamy możliwość zakupienia ich wersji programów na OS X i Linuksa
      Moim zdaniem za mało informacji podali. Takie firmy jak Kasperski czy Norton ładnie opisują jak dochodzi do infekcji itp. a tu jakoś ubogo

  • gunter

    Ale gdzie ten wirus , gdzie można go pobrać , jakiś kod coś do analizy , bazę wirusów mają na Windowsa całkiem znośną , a tu jak zwykle tylko szczotkowy opis że jest .

    Kiedyś pobrałem LiveCd tej firmy , przeniosłem to na USB i przetestowałem . No prawdziwy Dr.Web co zrobił ,wyczyścił mi kilka partycji do zera , dosłownie wyzerował mi dysk ( tylko na USB tak robi ) .Ja dziękuje za ich analizy gdzie ten kod .

    • gunter

      oczywiście miało być – szczątkowy

  • Garrappachc

    Pojawił się jeden wirus to już wszyscy trąbią ;) I tak powinno być.

  • Kenji

    Rozumiem, że nadal to JA muszę go uruchomić? To co to za wirus? Keyloggerów na każdym systemie można znaleźć co najmniej kilka, dorobienie do nich opcji wysyłania "gdzieś tam" nie jest żadnym problemem…
    Poza tym pisanie na własnej stronie "newsa", w którym odwołuje się do siebie jak do zewnętrznej firmy wygląda… dziwnie (mam tu na myśli dr.web).

    • cirilo

      Również wg mnie to jest jakieś podejrzane ;)

  • marcinsud

    Ja wiem, że w potocznej mowie przyjęło się mówić wirus na wszystko co robi szkodę na komputerze, ale z opisu jasno wynika, że wirus to to nie jest. Tak więc proponuję się trzymać prawidłowego nazewnictwa, szczególnie w tytule

    • Jutro będą na 20 serwisach pisali "Są wirusy na Linuksa!!!", a wszystko przez niechlujstwo jednego człowieka z OSWorld:) Gdzie jak gdzie, ale tu się takiej wtopy nie spodziewałem.

    • Tomik

      No i dobrze, że się tak przyjęło. Nie każdy jest geniuszem komputerowym i na szczęście nie musi być taki jak Ty.

      kwahoo wtopą jest Twój komentarz. Daruj sobie i idź trollować dobreprogramy.

    • marcinsud

      Różnica taka, że wirus (tak jak w życiu z komórkami) sam się powiela i zaraża inne pliki, ten program tego nie robi. Kwestia rzetelności dziennikarskiej i albo ktoś chce, albo nie. Geniuszem żadnym nie jestem, a dla ludzi 'niekomputerowych' powstało określenie malware lub swojskie złośliwe oprogramowanie zawierające w sobie cały szereg różnych paskudztw.

    • Ale Twoje zdanie najczęscie małokogo interesuje. Przynajmniej nie mnie. Dla mnie to jest wirus tak jak dal 90% użytkowników. Tak więc proponuję Ci zgłosić błąd w formularzu a nie jak zwykle się wymądrzać. Polaczek.

    • Boom

      Tylko się wymądrza i twierdzi, że ma wszystko w nosie. Polaczek

    • Gerard Stańczak

      różnica taka jak przy nazywaniu GNU/Linuksa potocznie linuksem.
      albo denerwujących i mało sensownych komentarzy spamem

      innymi słowy, nie zawsze trzeba być doskonałym, czasem lepiej używać mowy potocznej

    • Nie, to tak jak nazywanie petardy bombą. Nazwa określa skalę zagrożenia.

  • Mitras

    Samo go chyba napisali dla rozgłosu :D

  • o_O

    Skoro trzeba go ręcznie uruchomić i nie potrafi infekować, to nie jest wirus, tylko zwykły program.
    Wirusy to są na windowsie, gdzie bugi w systemie i oprogramowaniu microsoftu pozwalają wykonywać kod bez wiedzy użytkownika i zarażać system i rozprzestrzeniać złośliwy kod bez wiedzy użytkownika, np. zarażając (dostępne na kulawo zaprojektowanym windowsie w trybie pełnego zapisu do systemu plików) pamięci USB.

    • Artur Głowacki

      Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

      A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

      I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

      Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.

    • Dallias

      Jak go usunąłeś? Gdzie sie on zaszywa? Mam takie same połączenia. Pracuję na MacOSX

    • Interesujące to jest. A pamięci USB, czy pobieranie plików z internetu?

  • etherghost

    Calkiem mozliwe ze jest rozprowadzany manualnie.

  • fakeroot

    Czy on jest dodany do bazy rootkitów w rkhunter i chakerootkit lub będzie w przyszłości dodany? A może raczej nie kwalfikuje się do rootkitów więc nigdzie go nie dodadzą?

    • mojo

      to chyba Albański wirus…

  • nonono

    Dobra jak usunąć tego trojana z desktopa który wykrył chkrootkit?

    chkproc: Warning: Possible LKM Trojan installed