BackDoor.Wirenet.1 – wirus atakujący Linuksa i Maca

35
2511
Wirus
Wirus

Rosyjska firma Doctor Web, zajmująca się produkcją oprogramowania antywirusowego, poinformowała o pojawieniu się groźnego trojana typu BackDoor – BackDoor.Wirenet.1. Wirus działa na systemach Linux i Mac OS X, a jego głównym celem jest wykradanie haseł z przeglądarek internetowych: Opera, Chrome, Firefox, Chromium oraz aplikacji Thunderbird, SeaMonkey i Pidgin.

Po uruchomieniu BackDoor.Wirenet.1 tworzy kopię w katalogu domowym użytkownika, uruchamia swój wbudowany keylogger i komunikuje się ze swoim serwerem pod adresem 212.7.208.65. Dodatkowo cała komunikacja pomiędzy maszynami jest szyfrowana algorytmem AES.

Aktualizacja 29 sierpnia 2012 roku

Jeden z czytelników miał bezpośredni kontakt z opisanym zagrożeniem:
Artur Głowacki

Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.

Poprzedni artykułRaspberry Pi: licencje na kodeki MPEG-2 i VC-1
Następny artykułRPi-TC czyli projekt cienkiego klienta na Raspberry Pi
Michał Olber
Interesuję się głównie sprzętem i działaniem jego pod systemami GNU/Linux. Testuję różne dystrybucje i robię recenzje. Interesuję się działaniem sprzętu pod Linuksem, dzięki czemu wiem, jaki zestaw komputerowy wybierać :)

35 KOMENTARZE

    • Od dawna było wiadome, że są robaki, tylko były one mało szkodliwe. Ten jak widać wykorzystuje jakiś inny sposób, aby obejść zabezpieczenia. Dlatego ważne jest posiadania zapory sieciowej i wyłączenie Javy oraz ewentualnie JavaScript w przeglądarce.

  1. To jakiś routerek śmieszny jezt chyba :P

    Starting Nmap 5.51 ( http://nmap.org ) at 2012-08-28 09:45 UTC
    Nmap scan report for 212.7.208.65
    Host is up (0.076s latency).
    Not shown: 998 closed ports
    PORT STATE SERVICE
    22/tcp filtered ssh
    80/tcp filtered http
    Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
    Device type: webcam|specialized|remote management|printer|switch|router|WAP
    Running (JUST GUESSING): D-Link embedded (92%), Hioki embedded (92%), HP iLO (92%), Panasonic embedded (92%), Symbol embedded (92%), USRobotics embedded (92%), Asus embedded (91%), Sensatronics embedded (91%)
    Aggressive OS guesses: D-Link DCS-3220 webcam (92%), Hioki MEMORY HiCORDER 8855 digital oscilloscope (92%), HP iLO 2 remote management interface (92%), HP iLO or iLO 2 remote management interface (92%), HP ProLiant DL320 iLO 2 remote management interface (92%), HP ProLiant DL320s or ML310 iLO remote management interface (92%), Panasonic DB-3500 series printer (92%), Panasonic KX-HCM270 Network Camera (92%), Symbol AP-3021 switch (92%), USRobotics USR8000 broadband router (92%)
    No exact OS matches for host (test conditions non-ideal)

  2. Nie ma co na razie trząść tyłkami. Puki co wirus bardziej keylogger jest badany i wiadomo, że nie ukrywa się aż tak strasznie. Tworzy katalog w katalogu użytkownika do którego kopiuje zawartość całego home. Zapewne sam nie może się uruchomić i potrzebuje do tego celu jakąś inna aplikację lub skrypt. Nic poza tym że coś takiego Ruscy znaleźli nie wiadomo. Czekam na więcej informacji :)

    • Kopiuje cały HOME? LOL. Toż ja nie mam tyle miejsca na /home, żeby zrobić jego kopie na "sobie" :-). To są grube gigabajty.

  3. Trudność wykrycia:

    В MacOS: в папку %home%/WIFIADAPT.app.app

    В Linux: в ~/WIFIADAPT

    Folder nawet nie zaczyna się od kropki…

    BTW, on nie musi przełamywać zabezpieczeń. Instaluje się tylko u usera w folderze i pewnie po prostu odpala.

    A wirusy zawsze były są i będą na wszystkich platwormach. Kwestia ilości.

    • Tak tylko musi być jakaś akcja przez użytkownika aby uruchomić to i zainstalować na komputerze. Oczywiście zaraz pod info Dr.Web którzy niby odkryli mamy możliwość zakupienia ich wersji programów na OS X i Linuksa
      Moim zdaniem za mało informacji podali. Takie firmy jak Kasperski czy Norton ładnie opisują jak dochodzi do infekcji itp. a tu jakoś ubogo

  4. Ale gdzie ten wirus , gdzie można go pobrać , jakiś kod coś do analizy , bazę wirusów mają na Windowsa całkiem znośną , a tu jak zwykle tylko szczotkowy opis że jest .

    Kiedyś pobrałem LiveCd tej firmy , przeniosłem to na USB i przetestowałem . No prawdziwy Dr.Web co zrobił ,wyczyścił mi kilka partycji do zera , dosłownie wyzerował mi dysk ( tylko na USB tak robi ) .Ja dziękuje za ich analizy gdzie ten kod .

  5. Rozumiem, że nadal to JA muszę go uruchomić? To co to za wirus? Keyloggerów na każdym systemie można znaleźć co najmniej kilka, dorobienie do nich opcji wysyłania "gdzieś tam" nie jest żadnym problemem…
    Poza tym pisanie na własnej stronie "newsa", w którym odwołuje się do siebie jak do zewnętrznej firmy wygląda… dziwnie (mam tu na myśli dr.web).

  6. Ja wiem, że w potocznej mowie przyjęło się mówić wirus na wszystko co robi szkodę na komputerze, ale z opisu jasno wynika, że wirus to to nie jest. Tak więc proponuję się trzymać prawidłowego nazewnictwa, szczególnie w tytule

    • Jutro będą na 20 serwisach pisali "Są wirusy na Linuksa!!!", a wszystko przez niechlujstwo jednego człowieka z OSWorld:) Gdzie jak gdzie, ale tu się takiej wtopy nie spodziewałem.

    • No i dobrze, że się tak przyjęło. Nie każdy jest geniuszem komputerowym i na szczęście nie musi być taki jak Ty.

      kwahoo wtopą jest Twój komentarz. Daruj sobie i idź trollować dobreprogramy.

    • Różnica taka, że wirus (tak jak w życiu z komórkami) sam się powiela i zaraża inne pliki, ten program tego nie robi. Kwestia rzetelności dziennikarskiej i albo ktoś chce, albo nie. Geniuszem żadnym nie jestem, a dla ludzi 'niekomputerowych' powstało określenie malware lub swojskie złośliwe oprogramowanie zawierające w sobie cały szereg różnych paskudztw.

    • Ale Twoje zdanie najczęscie małokogo interesuje. Przynajmniej nie mnie. Dla mnie to jest wirus tak jak dal 90% użytkowników. Tak więc proponuję Ci zgłosić błąd w formularzu a nie jak zwykle się wymądrzać. Polaczek.

    • różnica taka jak przy nazywaniu GNU/Linuksa potocznie linuksem.
      albo denerwujących i mało sensownych komentarzy spamem

      innymi słowy, nie zawsze trzeba być doskonałym, czasem lepiej używać mowy potocznej

  7. Skoro trzeba go ręcznie uruchomić i nie potrafi infekować, to nie jest wirus, tylko zwykły program.
    Wirusy to są na windowsie, gdzie bugi w systemie i oprogramowaniu microsoftu pozwalają wykonywać kod bez wiedzy użytkownika i zarażać system i rozprzestrzeniać złośliwy kod bez wiedzy użytkownika, np. zarażając (dostępne na kulawo zaprojektowanym windowsie w trybie pełnego zapisu do systemu plików) pamięci USB.

    • Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

      A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

      I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

      Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.

  8. Czy on jest dodany do bazy rootkitów w rkhunter i chakerootkit lub będzie w przyszłości dodany? A może raczej nie kwalfikuje się do rootkitów więc nigdzie go nie dodadzą?

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj