Trojaner rammer Linux i.fl. Dr.Web

VMWare Workstation og Fusion kan nu rammes af en trojaner der unikt går efter denne virtuelle maskine, og kan påvirke Linux hvis installeret på denne i.fl. Virtualiseringefirmaet og analytikeren Peter Kruse.

http://www.computerworld.dk/art/219579/glubsk-supertrojaner-spiser-wind…

Hvis man er interesseret i info om den i artiklen nævnte IP adresse til serveren der henter information fra Linux, så prøv eksempelvis med en nmap scanning på 212.7.208.65:

nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 212.7.208.65

zenmap kan installeres hvis man vil have en GUI til nmap.

Serveren står formentlig i Amsterdam og har mindst en Honey Pot: 52.378N, 4.906E

Jeg kan tilføje at serveren har port 111 åben (sunrpc). For mere info om porten:

http://www.grc.com/port_111.htm

For eventuelt interesserede er her en søgning på IP adressen:
http://www.google.dk/#hl=da&gs_nf=1&cp=12&gs_id=4&xhr=t&q=212.7.208.65&…

Lad os faa installeret noget Bleachbit med det samme saa ;-)

ok hvis alt det er sandt og som der står i artiklen...

Kopierer sig selv
Under Linux kopierer den sig selv til mappen ~ / WIFIADAPT, før den forsøger at oprette forbindelse til sin kommando og kontrol-server på 212.7.208.65 ved hjælp af en kanal krypteret med AES.

så er det vel bare at lave et cron script, der tjekker efter den mappe, og sletter den med det samme, så er den prut vel slået?

Hvis nogen er usikker på hvilke options de vil vælge i Bleachbit, så differs de i de forskellige distroer. Her er et eksempel på mine valg i kubuntu som root.

http://db.tt/GW893E1x

Har man en YUM distro, fx Fedora, så findes YUM optionerne nederst i Bleachbit, der svarer til APT-GET i kubuntu, ubuntu, mint, debian og andre debian derivater. Det vil typisk slette op til 2 GB affald første gang man kører Bleachbit, hvis ikke man har renset systemet manuelt.

For at slette affald i browserene skal man køre Bleachbit som bruger, og hakke alt af i browsere, Java og Flash.

Man sletter også sine gemte passwords i browserene, hvilket er meningen, men man bør skrive dem ned først hvis man ikke kan huske dem.

#4: så er det vel bare at lave et cron script, der tjekker efter den mappe, og sletter den med det samme, så er den prut vel slået?

Formentlig, hvis ikke skaden allerede er sket. Bedre at forebygge end at helbrede vil jeg mene, men ideen er god. Korrekt at mappen ikke findes default.

Det kunne tænkes, hvis historien altså holder vand, at mappenavnet ændres i nye udgaver af malwaren ...

#0: så har de mest fornuftige fundet ud af at holde browserne fri for passwords, og ikke mindst at rense dem med CCleaner

Jeg forbliver nu ufornuftig og lader browseren huske mine passwords. Til gengæld er jeg næppe dum nok til at lade browseren afvikle Java-applets fra suspekte sider - og så er man vist uden for denne trojaners rækkevidde(?).

#7: Jeg forbliver nu ufornuftig og lader browseren huske mine passwords. Til gengæld er jeg næppe dum nok til at lade browseren afvikle Java-applets fra suspekte sider - og så er man vist uden for denne trojaners rækkevidde(?)

Ja på Linux, men nu er henvisningen også til Windows, og er det på sådan en man lader browseren huske passwords, så tænk på alt det malware til dette OS der ikke bruger Java til at hugge logins.

Men det er klart. Hvorfor ikke deaktivere Java i browseren til almindelgt brug, bruge en anden til Java stuff, og installere NoScripts i Firefox og ScriptNo i Chrome.

Der findes krypteringsprogrammer til at opbevare browseres login oplysninger, fx Roboform. Det er en rimelig sikker metode:

http://www.roboform.com/dk/download.html

Personligt kan jeg nu godt huske mine passwords, og skulle jeg glemme et, så har jeg dem i TrueCrypt containers. Har man mange, og besvær med at huske dem, så man alligevel nødt til at have dem skrevet ned, hvis maskinen går i stykker.

--------------

Noget lidt andet. Kan det forholde sig sådan, at Linux brugere der ikke bruger Windows, eller kun til at spille med KAN være dårligere til sikkerhed end folk der er vant til skidet?

Spørgsmålet er ment helt generelt for at høre eventuelle meninger, ikke som en hentydning.

#8: Noget lidt andet. Kan det forholde sig sådan, at Linux brugere der ikke bruger Windows, eller kun til at spille med KAN være dårligere til sikkerhed end folk der er vant til skidet?

Hvis du mener at de, når de færdes på Windows, er dårligere til sikkerhed end dem der bruger det som deres primære OS, så ja. Når man er vant ikke at tænke på firewall, antivirusprogrammer og lignende stads, så kan man sagtens forestille sig at nogle kan glemme sikkerheden når de så færdes på et knapt så sikkert OS.

Men det er efter min mening mest et spørgsmål om adfærd. Jeg har i de år mange jeg har brugt Windows (siden 2.11) aldrig brugt antivirus og jeg har sjovt nok aldrig haft virus. Fordi jeg aldrig har brugt IE, og i det hele taget tænker mig om inden jeg henter filer og åbner vedhæftninger. Det er ikke noget jeg har anbefalet venner og bekendte, for det kræver stor viden og gode vaner.

Jeg har kun scannet filer adhoc hvis de kom fra en suspekt kilde, så har jeg typisk bruge en online virusscanner som fx Trend Micro..

Hvis man gerne vil være helt sikker, kunne man også sikre, at alle mount points hvor brugeren kan skrive er mounted med noexec option, så burde man vel være ude over det problem.

Jeg har godt nok ikke testet det på et desktop system, men kan ikke se hvorfor det ikke skulle kunne lykkes.

#10: Hvis man gerne vil være helt sikker, kunne man også sikre, at alle mount points hvor brugeren kan skrive er mounted med noexec option, så burde man vel være ude over det problem.

Jeg tror at det forbedrer sikkerheden ift. binære angrebsprogrammer f.eks. at mounte home directory og /tmp noexec, men jeg vil ikke føle mig helt sikker af den grund, da det ikke hindrer en angriber i at tilføje shellkode til ~/.profile eller eksekvere /bin/sh ~/.evil.sh.