HARD CORE SECURITY LAB

Kilka dni temu w sieci (konkretnie wśród wstawek na gnome-look.org) zadebiutował trojan Black-Horse Trojan Linux. W wyniku beztroskiego klikania Download przy wstawce twórcy złośliwego kodu, w katalogu domowym użytkownika lądował skrypt sh.sh oraz archiwum Addon.tar.gz.

Skrypt, którego wykonywanie odbywało się bez wiedzy użytkownika systemu, miał za zadanie zainstalowanie dodatku Linux Support, zawartego we wspomnianym archiwum, do przeglądarki Firefox. Dodatek miał podsłuchiwać klawiaturę i przekazywać informację na zdalny serwer. Kolejny krok złośliwego kodu to skopiowanie plików accounts.xml Pidgina, sitemanager.xml Filezilli, key*.db i signons* Firefoksa do katalogu roboczego Mozilli. Skopiowane pliki pakowane były do archiwum Unlucky.tar.gz i eksportowane na serwer FTP. Następnie wykonywany był skrypt PHP na serwerze z kontem FTP, przenoszący wyeksportowane archiwum do katalogu niedostępnego z poziomu FTP, a jego nazwa zmieniana była na adres IP okradzionego komputera. Wykorzystane tu zostały programy ftp i wget, pracujące w trybie tekstowym.

Ponieważ twórca złośliwego kodu nie zadbał o zatarcie śladów swoich działań – pozostawione w katalogu domowym użytkownika pliki sh.sh i Addon.tar.gz oraz bałagan w katalogu roboczym Mozilli – łatwo było zorientować się jakie dane, dokąd zawędrowały i przy wykorzystaniu jakich operacji. To na moment przyczyniło się do powstrzymania złodziejskiego procederu. Jednak twórca kodu na swoim blogu (którego adres można było odczytać w pliku Welcome.txt serwera FTP), informuje o wykorzystaniu innego hostingu i powtórnym rozpoczęciu swojej działalności, przy jednoczesnym udoskonaleniu kodu i wykorzystaniu tym razem pliku binarnego, by utrudnić rozpracowanie operacji wykonywanych przez złośliwy kod.

Warto przypomnieć, że nie jest to pierwszy przypadek, gdy portal gnome-look.org został wykorzystany do rozpowszechniania złośliwego oprogramowania przeznaczonego dla systemu Linux. Podobny przypadek miał miejsce w grudniu ubiegłego roku.

Wygląda więc na to, że Linux staje się na tyle popularny, że zaczyna się opłacać tworzenie przeznaczonego dla niego oprogramowania malware. Użytkownicy Linuksa powinni uważać instalując paczki z niepewnych źródeł. Warto również zapoznać się z artykułem The Malware Problem (and a solution) opisującym przyczyny problemu i oferujący rozwiązanie, które utrudni pojawianie się podobnych przypadków w przyszłości.

Źródło: Black-Horse Trojan Linux (OSnews.pl)