Segundo um relatório feito pelo site DrWeb, foi descoberto um Backdoor e um DDOS cavalo de Tróia que atuam em sistemas Gnu/Linux.
Para você entender melhor isso as novas ameaças não virão apenas como scripts automatizados, ataques de força bruta (Brute Force) para infectar utilizadores,. Essas ameaças são mais inteligentes. Vale ressaltar que essas ameaças dependem da boa estupidez dos usuários para que tudo seja infectado, ou seja, só vai acontecer a infecção quando o usuário baixar pacotes maliciosos pelos mais variados sites da internet, e ainda, que dê privilégios de root para eles após a instalação.
Antes de você leitor prosseguir com a leitura, fique sossegado pois já existe uma empresa que identificou e tratou essa infecção.
O pacote malicioso em questão é distribuído usando um outro Malware conhecido como Linux.Downloader. Que segundo alguns especialistas de segurança que o conhecem como payload downloader. O código malicioso é tão pequeno que pode caber dentro de outros apps, e é encarregado, depois, de baixar outros Malwares.
Após o usuário Linux dá privilégios de root para um aplicativo que esteja contaminado com o Linux.Downloader, que atualmente está na versão 77, esse cavalo de Tróia irá baixar uma versão atualizada de si mesmo, isto é, a versão 116, que inclui mais recursos necessários durante a instalação do Xudp.
Feito isso o vírus irá baixar e instalar o Xudp nas pastas “/lib/.socket1” ou /lib/.loves “, que adiciona Xudp a scripts autorun do sistema e também limpam o firewall iptables local, caso este esteja ativado.
Continuando a novela o Linux Downloader será desativado após o término da infecção e depois o Xudp assume tudo. Em primeiro lugar, irá verificar o arquivo de configuração codificado onde contém as instruções programadas pelo cracker, em seguida, irá reunir informações sobre o computador infectado, enviando-o ao seu servidor C & C. O primeiro ping para servidor C & C será uma solicitação HTTP em texto puro e mais tarde a comunicação HTTPS.
Os principais componentes do Xudp que são divididos em 3 grupos são eles:
- O primeiro é responsável por tratar as comunicações do servidor C & C via HTTPS.
- O segundo se mantém ativo constantemente para receber instruções provenientes do servidor C & C.
- O terceiro envia periodicamente os dados da máquina infectada para o servidor do cracker.
Tecnicamente, os especialistas dizem que o Xudp pode ser usado como um backdoor para executar comandos no computador local, ou como um bot em ataques DDoS coordenados. Foram indentificados pela fabricante de antivírus pelo menos três versões diferentes de Linux.BackDoor.Xudp. Caso queira ver o relatório da detecção clique aqui.
Até a próxima!!!
Nenhum comentário:
Postar um comentário