Trojansk hest rammer Linux & Mac X

Tak for info

nmap fortæller at port 111 rpcbind er åbn på serveren, formentlig stående i Amsterdam:

nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 212.7.208.65

eller -nmap -PN 212.7.208.65 hvis ovenstående ikke virker.

IP blokeres af Malwarebytes Professional som potentiel skadelig.

Hvis man vil scanne for denne trojaner, uden at betale, kan man prøve Dr. Webs Live CD

http://www.freedrweb.com/livecd/?lng=en

Citat:
Backdoor.Wirenet.1-virussen fungerer også som en keylogger, der indsamler data fra tastaturinputs, som ubudne kan misbruge. Desuden stjæler den passwords indtastet af brugeren i Opera, Firefox og Chrome. Adgangskoderne gemmes så som applikationsprogrammer, der minder om Thunderbird, SeaMonkey, og Pidgin.

Og så er vi tilbage til spørgsmålet; Er det smart at gemme passwords i browserne? Hvorfor skulle jeg dog rense browser cache, OSV ...

Nogle har tidligere udtalt: Jammen så vælger jeg at leve farligt ...

Til dem er svaret så her på forhånd; Jammen så gør da endelig det. Who cares ...

#1: Og så er vi tilbage til spørgsmålet; Er det smart at gemme passwords i browserne? Hvorfor skulle jeg dog rense browser cache, OSV
Hvis den os fungere som keylogger. Så tror jeg at det betyder mindre at rense browserens cache.

Jo lyder rigtigt, men hvem ved. Browser-rengøring gør ingen skade, tværtimod og måske vil filer i cachen være en del af malwaren?

Humlen er blot, at jo mindre snavs der er i browserne, jo mindre risici generelt.

Kan godt være det er først gang på Linux, det er ikke først gang til Mac OS X, der var en da Puma var ude :)

Men tak for info

det er heller ikke første gang på Linux, snarere anden i løbet af de sidste 12 - 13 år, så vidt jeg er orienteret:

http://www.linuxin.dk/node/20247

Denne nyes IP er den samme som den forrige.

Det lyder da godt nok som lidt af en irsk virus, når man læser kommentarerne på version2:
http://www.coll3ctive.co.uk/wp-content/uploads/2011/04/irish_virus.jpg

Man håber jo næsten at de snart finder en "rigtig" virus/trojaner, ligesom dem MS Windows har hundredetusindvis af i cirkulation, så man kan slippe for at den slags fjollerier bliver til nyheder.

#6: Man håber jo næsten at de snart finder en "rigtig" virus/trojaner, ligesom dem MS Windows har hundredetusindvis af i cirkulation, så man kan slippe for at den slags fjollerier bliver til nyheder.

Hvad får dig til at mene, at fordi det kun handler om angreb i profilen, at det så ikke er "en rigtig" virus, trojaner, malware?

På jeg tillade mig at gøre opmærksom på, at mange MS vira også kun angriber profilen. Det handler om at skaffe sig personlige oplysninger om brugeren, sædvanligvis for at hive penge ud af brugeren, og i mindre grad, som i gamle dage, at ødelægge systemerne.

Ved sådanne angreb, er det vigtigt at brugeren intet opdager ...

Jeg formoder da, at du er klar over at programmer kan eksekveres fra profilen?

Måske burde du også lægge lidt vægt på, at serveren benytter port 111, formentlig sammen med port 21.

Du kan eksempelvis selv finde info ved at søge med: port 111 vulnerabilities

Hvad skulle det gøre, at serveren har port 111 åben? Tror du hackeren kører portmapper på sin C&C server, så gud og hvermand kan afprøve gamle exploits?

#8

Nej. Som det fremgår af artiklen, både den nye og den gamle, så er forbindelsen krypteret fra/til serveren på den åbne port 111. Men jeg har kun scannet serveren med nmap, intet andet, hverken kørt exploits eller på anden vis gjort mere ud af det, heller ikke på den åbne port 21. Jeg har heller ikke scannet samtlige 65.535 porte.

Nmap gætter iøvrigt på, at det er en Win 2008 server, ikke en UNIX.

Jeg kan ikke engang være sikker på, at serveren står hvor geolocation fortæller den gør.

Det er ikke noget problem, hvis man har en router der kan udelukke IP adresser, eller blokere den med iptables. Begge mine netværk har blokeret serveren, og Win maskinerne kører derudover Malwarebytes Pro, der i forvejen blokere denne IP automatisk, og Comodo vil brokke sig hvis der kommer en forespørgsel til eller fra Win.

Mac maskinerne har Little Snitch installeret, der formentlig også vil brokke sig.