Rosyjska firma Doctor Web, zajmująca się produkcją oprogramowania antywirusowego, poinformowała o pojawieniu się groźnego trojana typu BackDoor – BackDoor.Wirenet.1. Wirus działa na systemach Linux i Mac OS X, a jego głównym celem jest wykradanie haseł z przeglądarek internetowych: Opera, Chrome, Firefox, Chromium oraz aplikacji Thunderbird, SeaMonkey i Pidgin.
Po uruchomieniu BackDoor.Wirenet.1 tworzy kopię w katalogu domowym użytkownika, uruchamia swój wbudowany keylogger i komunikuje się ze swoim serwerem pod adresem 212.7.208.65. Dodatkowo cała komunikacja pomiędzy maszynami jest szyfrowana algorytmem AES.
Aktualizacja 29 sierpnia 2012 roku
Jeden z czytelników miał bezpośredni kontakt z opisanym zagrożeniem:
Artur Głowacki
Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.
A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.
I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.
Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.
Jakby ktoś pytał to IP jest z Polski :D
Link: http://pastebin.com/bUui4Rq8
Pewnie to jakiś komputer typu Zombie, który jest zainfekowany serwerem dla tego robaka.
A podobno na Linuksa nie ma wirusów. Taki to zajebisty system. I co? Buahahaha!
Od dawna było wiadome, że są robaki, tylko były one mało szkodliwe. Ten jak widać wykorzystuje jakiś inny sposób, aby obejść zabezpieczenia. Dlatego ważne jest posiadania zapory sieciowej i wyłączenie Javy oraz ewentualnie JavaScript w przeglądarce.
Tylko jeden jak widzisz a na Windowsa jest klika nowych ale dziennie!
I jajco matole. Pogugluj zanim się ośmieszysz. Albo poczytaj inne komenatarze.
To jakiś routerek śmieszny jezt chyba :P
Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 09:45 UTC
Nmap scan report for 212.7.208.65
Host is up (0.076s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
80/tcp filtered http
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: webcam|specialized|remote management|printer|switch|router|WAP
Running (JUST GUESSING): D-Link embedded (92%), Hioki embedded (92%), HP iLO (92%), Panasonic embedded (92%), Symbol embedded (92%), USRobotics embedded (92%), Asus embedded (91%), Sensatronics embedded (91%)
Aggressive OS guesses: D-Link DCS-3220 webcam (92%), Hioki MEMORY HiCORDER 8855 digital oscilloscope (92%), HP iLO 2 remote management interface (92%), HP iLO or iLO 2 remote management interface (92%), HP ProLiant DL320 iLO 2 remote management interface (92%), HP ProLiant DL320s or ML310 iLO remote management interface (92%), Panasonic DB-3500 series printer (92%), Panasonic KX-HCM270 Network Camera (92%), Symbol AP-3021 switch (92%), USRobotics USR8000 broadband router (92%)
No exact OS matches for host (test conditions non-ideal)
Możliwe, że to taka sieć TOR, aby trudniej było wykryć prawdziwą lokalizację maszyny :)
Nie ma co na razie trząść tyłkami. Puki co wirus bardziej keylogger jest badany i wiadomo, że nie ukrywa się aż tak strasznie. Tworzy katalog w katalogu użytkownika do którego kopiuje zawartość całego home. Zapewne sam nie może się uruchomić i potrzebuje do tego celu jakąś inna aplikację lub skrypt. Nic poza tym że coś takiego Ruscy znaleźli nie wiadomo. Czekam na więcej informacji :)
Kopiuje cały HOME? LOL. Toż ja nie mam tyle miejsca na /home, żeby zrobić jego kopie na "sobie" :-). To są grube gigabajty.
Trudność wykrycia:
В MacOS: в папку %home%/WIFIADAPT.app.app
В Linux: в ~/WIFIADAPT
Folder nawet nie zaczyna się od kropki…
BTW, on nie musi przełamywać zabezpieczeń. Instaluje się tylko u usera w folderze i pewnie po prostu odpala.
A wirusy zawsze były są i będą na wszystkich platwormach. Kwestia ilości.
Czyli jacyś lamerzy pisali ten kod ;P
Tak tylko musi być jakaś akcja przez użytkownika aby uruchomić to i zainstalować na komputerze. Oczywiście zaraz pod info Dr.Web którzy niby odkryli mamy możliwość zakupienia ich wersji programów na OS X i Linuksa
Moim zdaniem za mało informacji podali. Takie firmy jak Kasperski czy Norton ładnie opisują jak dochodzi do infekcji itp. a tu jakoś ubogo
Ale gdzie ten wirus , gdzie można go pobrać , jakiś kod coś do analizy , bazę wirusów mają na Windowsa całkiem znośną , a tu jak zwykle tylko szczotkowy opis że jest .
Kiedyś pobrałem LiveCd tej firmy , przeniosłem to na USB i przetestowałem . No prawdziwy Dr.Web co zrobił ,wyczyścił mi kilka partycji do zera , dosłownie wyzerował mi dysk ( tylko na USB tak robi ) .Ja dziękuje za ich analizy gdzie ten kod .
oczywiście miało być – szczątkowy
Pojawił się jeden wirus to już wszyscy trąbią ;) I tak powinno być.
Rozumiem, że nadal to JA muszę go uruchomić? To co to za wirus? Keyloggerów na każdym systemie można znaleźć co najmniej kilka, dorobienie do nich opcji wysyłania "gdzieś tam" nie jest żadnym problemem…
Poza tym pisanie na własnej stronie "newsa", w którym odwołuje się do siebie jak do zewnętrznej firmy wygląda… dziwnie (mam tu na myśli dr.web).
Również wg mnie to jest jakieś podejrzane ;)
Ja wiem, że w potocznej mowie przyjęło się mówić wirus na wszystko co robi szkodę na komputerze, ale z opisu jasno wynika, że wirus to to nie jest. Tak więc proponuję się trzymać prawidłowego nazewnictwa, szczególnie w tytule
Jutro będą na 20 serwisach pisali "Są wirusy na Linuksa!!!", a wszystko przez niechlujstwo jednego człowieka z OSWorld:) Gdzie jak gdzie, ale tu się takiej wtopy nie spodziewałem.
No i dobrze, że się tak przyjęło. Nie każdy jest geniuszem komputerowym i na szczęście nie musi być taki jak Ty.
kwahoo wtopą jest Twój komentarz. Daruj sobie i idź trollować dobreprogramy.
Różnica taka, że wirus (tak jak w życiu z komórkami) sam się powiela i zaraża inne pliki, ten program tego nie robi. Kwestia rzetelności dziennikarskiej i albo ktoś chce, albo nie. Geniuszem żadnym nie jestem, a dla ludzi 'niekomputerowych' powstało określenie malware lub swojskie złośliwe oprogramowanie zawierające w sobie cały szereg różnych paskudztw.
Ale Twoje zdanie najczęscie małokogo interesuje. Przynajmniej nie mnie. Dla mnie to jest wirus tak jak dal 90% użytkowników. Tak więc proponuję Ci zgłosić błąd w formularzu a nie jak zwykle się wymądrzać. Polaczek.
Tylko się wymądrza i twierdzi, że ma wszystko w nosie. Polaczek
różnica taka jak przy nazywaniu GNU/Linuksa potocznie linuksem.
albo denerwujących i mało sensownych komentarzy spamem
innymi słowy, nie zawsze trzeba być doskonałym, czasem lepiej używać mowy potocznej
Nie, to tak jak nazywanie petardy bombą. Nazwa określa skalę zagrożenia.
Samo go chyba napisali dla rozgłosu :D
Skoro trzeba go ręcznie uruchomić i nie potrafi infekować, to nie jest wirus, tylko zwykły program.
Wirusy to są na windowsie, gdzie bugi w systemie i oprogramowaniu microsoftu pozwalają wykonywać kod bez wiedzy użytkownika i zarażać system i rozprzestrzeniać złośliwy kod bez wiedzy użytkownika, np. zarażając (dostępne na kulawo zaprojektowanym windowsie w trybie pełnego zapisu do systemu plików) pamięci USB.
Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.
A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.
I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.
Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.
Jak go usunąłeś? Gdzie sie on zaszywa? Mam takie same połączenia. Pracuję na MacOSX
Interesujące to jest. A pamięci USB, czy pobieranie plików z internetu?
Calkiem mozliwe ze jest rozprowadzany manualnie.
Czy on jest dodany do bazy rootkitów w rkhunter i chakerootkit lub będzie w przyszłości dodany? A może raczej nie kwalfikuje się do rootkitów więc nigdzie go nie dodadzą?
to chyba Albański wirus…
Dobra jak usunąć tego trojana z desktopa który wykrył chkrootkit?
chkproc: Warning: Possible LKM Trojan installed