BackDoor.Wirenet.1 – wirus atakujący Linuksa i Maca

Rosyjska firma Doctor Web, zajmująca się produkcją oprogramowania antywirusowego, poinformowała o pojawieniu się groźnego trojana typu BackDoor – BackDoor.Wirenet.1. Wirus działa na systemach Linux i Mac OS X, a jego głównym celem jest wykradanie haseł z przeglądarek internetowych: Opera, Chrome, Firefox, Chromium oraz aplikacji Thunderbird, SeaMonkey i Pidgin.

Po uruchomieniu BackDoor.Wirenet.1 tworzy kopię w katalogu domowym użytkownika, uruchamia swój wbudowany keylogger i komunikuje się ze swoim serwerem pod adresem 212.7.208.65. Dodatkowo cała komunikacja pomiędzy maszynami jest szyfrowana algorytmem AES.

Aktualizacja 29 sierpnia 2012 roku

Jeden z czytelników miał bezpośredni kontakt z opisanym zagrożeniem:
Artur Głowacki

Boże, ale z Was dzieciaki co się kłócą o to czy jest to wirus czy robak internetowy czy trojan czy złośliwe oprogramowanie. Zawsze śmieszyli mnie tacy idealiści.

A wracając do meritum. Zagrożenie jest dość poważne. Pracuję w urzędzie miejskim i na routerze brzegowym zobaczyłem próby komunikacji z IP: 212.7.208.65. Szukając w google trafiłem na ten wpis tutaj.

I faktycznie na jednym z laptopów z Ubuntu jest katalog WIFIADAPT. Na szczęście jest pusty, ale podejrzewam, że tutaj kopiuje katalogi .firefox, .mozilla.

Dodatkowo z tego co widzę to próbował otworzyć port 8356 w trybie nasłuchu oraz stworzył plik procesu /tmp/.lbOOjfsO. Ciekawi mnie w jaki sposób zainfekował laptopa. JavaScript odpada bo jest wycinany u nas w sieci poprzez Proxy a laptop w ciągu ostatniego miesiąca nie był poza urzędem.