Ny Linux-'virus' graver efter kryptovaluta, stjæler root-passwords og sætter antivirus ud af spillet

Illustration: mtmmarek/Bigstock.com
E ny trojaner skaffer sig fodfæste på pc'en ved at finde mapper, hvor det har skrivetilladelse, så det kan kopiere sig selv og downloade flere moduler. Derefter udnyttes -huller, som giver root-privilelium og fuld adgang til operativsystemet.

Det er ikke ofte, man hører om malware på Linux-platformen, men nu er der et nyt tilfælde. Blandt andre nettstedet ZDNet melder om en ny type Linux-malware med et væld af skumle funktioner.

Malwaren, som er ganske sofistikeret, blev opdaget af det russiske antivirus-selskab Dr. Web og har fået navnet Linux.BtcMine.174.

Graver efter kryptovaluta

Det nye program er en trojaner, som først skaffer sig fodfæste på pc'en ved at finde mapper, hvor det har skrivetilladelse, så det kan kopiere sig selv og downloade flere moduler.

Derefter udnytter programmet et par såkaldte 'privilege escalation'-huller, som giver root-privilegium og fuld adgang til operativsystemet.

Programmet smyger sig også ind på listen over autokørsler og installerer et rootkit-program, som ifølge sikkerhedsforskerne kan bruges til at stjæle passwords, som skal udføre såkaldte su-kommandoer, altså kommandoer, som udføres med superbrugerrettigheder.

Trojanerens primære funktion er at mine kryptovaluta, hvilket efterhånden er et kendt fænomen. Kryptovalutaen, der graves efter, er Monero, som også en del andre kryptominere den seneste tid har vendt sig mod.

Sætter rivaliserende programmer og antivirus ud af spillet

Ud over at grave efter Monero har det nye program også den egenskab, at det scanner systemet og sætter rivaliserende kryptominere ud af spillet. Men ikke nok med det.

Den nye Linux-malware er også i stand til at hindre funktionalitet i Linux-baserede antivirusprogrammer, som er baseret på procesnavne, som associeres med sådanne programmer. Dermed kan det altså operere uforstyrret.

Og endelig er softwaren også i stand til at downloade et andet program - en trojaner som er den del af en velkendt malwarefamilie, som blandt andet anvendes til at udføre DDoS-angreb.

Programmet spreder sig selv gennem en funktion, som samler information om alle de servere, som den inficerede vært er opkoblet til via SSH-protokollen. Det er i skrivende stund ubelyst præcist, hvordan man kan forhindre spredningen.

Mere teknisk information findes hos Dr. Web.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Harly

Under mig om hvorfor det ikke oplyses hvodan den enlig kan blive instlleret først gang.
Hvordan spreder den sig? ud ovet at den prøver at installere sig via ssh kontakt finden på en infekseret maskine.

Er det kun på PC eller gælder det også på en serveren?

Som jeg ser det så kæver det en aktiv handlig at download den og køre den på pc.

Ole Kaas

Det er en miner - der så også laver lidt andre "småting" i det skjulte:

https://news.drweb.com/show/?i=12942

"Doctor Web recently discovered a miner that infects Linux devices"

Så din pc eller server bliver inficeret fordi du gerne vil mine Monero kryptovaluta og ukritisk downloader og kører et mining-program du finder på nettet. Hvis ikke du er så lemfældig at køre som root, kan den hente værktøjer der kan forsøge at eskalere rettigheder til root. Dne kan endvidere sprede sig via SSH til maskiner hvortil der er gemt login.

Sikkerhedshullet ligger hos brugere: Lad være med at køre programmer du ikke kan stole på og hold dit system opdateret.

Hans Nielsen

Har nu ikke antivirus kørende på dekstop pc-er. Hverken på Linux eller Windows. - Gode manere og omtanke er den bedste beskyttelse.

Linux fordi der ingen meninge er i det. Sikkerhede her kommer fra automatisk opdateringer af de fleste programmer via en betrodet server. Og af et noget bedre OS hvor sikkerhed er en del af DNA, og er en del af det basale OS og kerne. Hvor feks. kryptering, brugerregtigheder og andet er tænkt helt ind i filsystem fra starten.

På windows giver det bare en falsktrykhed. Selv Windows firewall er kun til besvær. og har altid kun windows maskinner bag en rigtigt firewall. Benytter også mest GPL ligenden software, og installere kun noget jeg tror på, og fra orginal kilde.

Derud over benytter jeg mig på begge OS af add on, som forhidre java, flash, og andet "snavs" når jeg browser. Som de 20-30 ting som bliver forhindre i at køre på V2 hjemmeside. Beskyttelse mod virus og profilering er primært grunden til at jeg køre det på alle sidder. også selv om v2 klynker.

Man kan stadig blive ramt. En harddisk kan jo også gå ned. Så en god backup, hvor der mulighed for at finde gamle versioner. Er formodeligt den bedste beskyttelse i privaten. Jeg overvåger desuden en gang i mellem PC, som jeg synes mærkelige, ved at se på RAM, CPU tid og processer, samt ved at se på trafik på enheden i firewallen,

Men virus programøere er desvære blevet en del bedre, og er langt mere destuktivt i dag.

PS. Antivrus er IKKE en dyt værd. Kan være mere farligt, på grund af den falsk trykheds føelse det giver nogen - også tåbelige system admininstrator.

Den 0.0000000000000000000000000000000000000001% af alle viruser som den ikke kender. Det er den som rammer en.

Helge Svendsen

Sikkerhedshullet ligger hos brugere: Lad være med at køre programmer du ikke kan stole på og hold dit system opdateret.

Skulle jeg lige til at sige. Jeg har svært ved at se, man kan beskytte sig via den slags, hvis brugere med rettigheder rent faktisk downloader og eksekverer programmer / scripts blindt.

Hvad har det med Linux at gøre?

Hans Nielsen

brugere med rettigheder rent faktisk downloader og eksekverer programmer


I Linux bliver du faktisk ganske klart advaret mod om et program kræver retigheder i systemet, ikke ved brugern selv.

Ved at installationen skal startet som root -eller beder om root adgang Når det sker skal man tænke sig om. Det er typsik kun hvis man installere nye programmer eller kerner som ikke er standart.

I windows er man lagt være stilllet da ens "standart" administrator bruger har adgang til alt. Noget som er nødvendigt for at leve med windows, og mange programmer virker ikke særligt godt uden.. Når du får en advarsel her, er det svært at gennemskue om programmet bare installere et program til brugeren, eller retter i systemet.

Helge Svendsen

I Linux bliver du faktisk ganske klart advaret mod om et program kræver retigheder i systemet, ikke ved brugern selv.

Jeg tror ikke du skal regne med den her slags programmer er noget, der installeres gennem apt eller anden package manager.

Det er nok rent faktisk et råt executable og / eller et script, man bare henter ned og kører med sudo foran. Dvs. fuldstændig udenom package manager.

Så den eneste advarsel du vil få, er formegentlig når den spørger dig om dit pwd.

Hans Nielsen

Så den eneste advarsel du vil få, er formegentlig når den spørger dig om dit pwd.


Ja og et krav om sudo :-)

"som komtrollerede mails - er vel sagtens pænt ikke at sende virus til ens 'venner'."

Nu sender jeg kun tekst beskeder til venner, ingen vedhefteninger. Jeg sender heller ikke kviteringer eller andet som svar på læsning.

Normalt bruger jeg thunderbird, men på en Windows bruger jeg mest webmail, da det et sikkere. Nogen gange via omveje af google (selv om jeg af andre privacy grunde er ved at fase dem ud). Som har et meget fornuftigt spam og virus filter.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize