Linux-pauseskærme brugt til at skjule malware

To pauseskærme til Gnome-desktopmiljøet, som blev distribueret via et populært websted for udvidelser til Gnome, har vist sig at gemme på et ondsindet script.

Pauseskærme har længe været et skjulested for ubehagelige overraskelser såsom fup-antivirus og trojanske bagdøre på Windows-platformen. Nu er turen kommet til Linux, skriver Ubuntu-bloggen omgubuntu.co.uk.

Det drejer sig om to pauseskærme med henholdsvis et vandfald og ninjaer som tema. Ifølge sikkerhedsfirmaet CSIS indeholder de to pauseskærme et script, som udføres under installationen af pauseskærmen. Scriptet downloader et bash-script, som blandt andet kan anvendes til at bruge den inficerede Linux-pc til at udføre et distribueret denial-of-service-angreb, DDoS-angreb.

De to pauseskærme er blevet distribueret som Debian-pakkefiler via portalen Gnome-Look.org, som er et websted for brugerudviklede tilpasninger af Gnome-desktopmiljøet.

Der er tale om et uofficielt repository for Gnome-pakker i modsætning til de repositories, som benyttes af hver Linux-distribution. Normalt kan brugere finde det meste software via de officielle repositories, men websteder som Gnome-Look.org distribuerer også pakker med det indhold, som brugerne efterspørger, men som ikke udbydes via de officielle kanaler.

Hvis man har installeret de pågældende pauseskærme, kan man ifølge CSIS heldigvis fjerne den ondsindede kode med en enkelt kommando:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash

Det er dog vigtigt, at man ikke forsøger at udføre kommandoen, medmindre man er sikker på, at man har installeret den ondsindede software.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Andersen

Hvilken sti mener de man skal køre det remove script fra?

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash

index.php og run.bash er jo afhængige af aktuelle mappe..

  • 0
  • 0
Martin Pihl

Der gik i øvrigt ikke ret mange timer, før det blev opdaget, at der var skjult malware i screensaveren, og til der cirkulerede en advarsel og et fix (ovenstående kommando) på nettet.

Se også http://ubuntudanmark.dk/forum/viewtopic.php?p=55782

Open Source gør mig meget tryg. Det er svært at skjule skadelig kode i softwaren, når det er software som ligger frit tilgængeligt på nettet.

Den pågældende kode var angiveligt også ekstrem dårlig lavet (og virkede vist ikke engang). Det var bare en knægt, som åbenbart ville prøve at lave noget .. 'sjov'?

Skal det lykkes med at få trojanere ned på Linux-PC'ere, skal der noget mere snilde og teknisk dygtighed til, hvis man skal narre de mange brugere derude, som hurtigt kan gennemskue de åbne koder.

  • 0
  • 0
Peter Brodersen

Tilbage i Windows95-tiden var screensavere også en klassisk måde at smugle programmer ind. Nogle folk var overraskede over, at .scr-filer i praksis blot var almindelige eksekverbare filer.

Det skaber dog spørgsmålet om behovet for at screensavere som udgangspunkt skal være helt ordinære, eksekverbare applikationer uden noget form for sikkerhedslag eller håndtering fra GUI'et.

Bevares, hvis folk klasker en tilfældig .deb ind i deres system, er der ikke så meget at gøre. Men der er ingen grund til at opgive en sund sikkerhedsmæssig infrastruktur af den grund. Der kan også være tale om regulære bugs.

Her holder det ikke, at konsekvensen af en fejl i en screensaver, som fx henter RSS-nyheder fra forskellige (untrusted) sites nødvendigvis må være, at screensaveren har adgang til ens desktop, til ens mails, til ens screen-sessions, til ens cookies og så fremdeles.

På den front kunne jeg godt ønske en bedre sikkerhedsmodel end ren og skær bruger-separation. En brugers vigtige informationer er tilgængelig for alle brugerens applikationer, plus at en almindelig bruger ikke kan oprette en særskilt bruger til lejligheden, på samme måde som at en administrator typisk vil oprette en bruger til formålet at køre en bestemt service.

  • 0
  • 0
Thomas Dybdahl Ahle

I gamle dage kom XScreensaver med 200 blandede pauseskærme, som man kunne slå til og fra, indstille på seje måder, og køre tilfældigt.
Så besluttede nogen i Gnome sig for at det var for besværligt for brugerne, og lavede gnome-screensaver med 4 pauseskærme og 0 indstillinger.
Så er det jo klart, at folk henter pauseskærme online.

  • 0
  • 0
Anders Sørensen

Open source har da ikke noget med sagen at gøre? mener du det at den ondsindede kode er skrevet i et script, som man kan læse og derfor open source?
li' meget om det var lukket eller open source vil det nok ha gået li hurtigt med at få fjernet den skadelige fil (om det er en deb eller exe), på en populær server.
Det her er noget der sker selvom man prøver at passe på (selvom det er en uofficielt repository - er den ret anerkendt).
Det her viser vel bare at serverens anti-virus/troja scanner ikke virker li præcis for denne troja.

  • 0
  • 0
Michael Degn

@Anders

Det her viser vel bare at serverens anti-virus/troja scanner ikke virker li præcis for denne troja.

Det er der såmænd ingen scanner der gør. Scriptet bruger wget, hvilket på ingen måde indikerer malware aktivitet.

Fixet der blev lavet gik ind og loggede alle wget kommandoer - på den måde kunne man afsløre scriptet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere