[novegnolug] Re: Finalmente un virus per Linux (?)

Il 16 luglio 2012 16:43, Dario Cavedon <dcavedon@xxxxxxxxx> ha scritto:
> Ciao a tutti!
>
> Segnalo questi interessanti articoli:
>
> http://www.zdnet.com/cross-platform-trojan-checks-your-os-attacks-windows-mac-linux-7000000656/
> http://www.zdnet.com/cross-platform-trojan-attacks-windows-intel-macs-linux-7000000872/
>
> Sembra che questo "trojan" (=specie di virus), che si prende visitando
> un sito web "infetto", sia in grado di determinare il sistema in uso
> da chi naviga (win, mac o linux) e scaricare un virus apposta per quel
> sistema.
>
> Non ho capito bene quali danni provochi questo virus.
>
> Dario

Cito:
"Karmina Aquino, analista del team F-Secure, ha scovato un attacco su
un sito dedicato alla mobilità colombiana: navigando sulla pagina,
all’utente sarà chiesto di eseguire un’applet java senza
certificazione di firma; se l’utente dovesse accettare, verrà
scaricato e mandato in esecuzione un file .jar che, innanzitutto,
recupererà informazioni relative al sistema operativo sottostante (se
Windows – 32 o 64 bit, Linux – 32 oppure 64 bit e Mac), dopodichè
scaricherà una backdoor costruita ad-hoc a seconda del sistema
operativo rilevato, backdoor che a sua volta si connetterà ad un
server remoto e scaricherà ed eseguirà altri programmi malevoli.

Il .jar iniziale, quello per cui l’utente riceve richiesta di
esecuzione, è stato costruito a partire dal codice di un tool per
determinati tipi di penetration testing. La backdoor rilevata per
l’applet-downloader (quello dalla firma non certificata) è la
seguente:

Trojan-Downloader: Java/GetShell.A (sha1:
4a52bb43ff4ae19816e1b97453835da3565387b7)
Mentre le tre backdoor variabili a seconda del sistema operativo sono:

Backdoor:OSX/GetShell.A(sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef) – MacOS
Backdoor:Linux/GetShell.A(sha1:
359a996b841bc02d339279d29112fe980637bf88) – Linux
Backdoor:W32/GetShell.A(sha1:
26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a) – Windows
Non si sa precisamente che cosa venga scaricato dal server malevolo,
in quanto durante l’analisi di F-Secure non vi è stato traffico di
dati; tuttavia ciò resta un rischio per la sicurezza del sistema. Le
porte utilizzate per Windows, Linux e Mac sono rispettivamente la
8082, 8081 e 8080. Sebbene questo tipo di attacco sia, per il momento,
stato riscontrato sul sito dei trasporti Colombiani e sul sito di un
parco acquatico spagnolo (precisamente di Barcellona), non è detto che
il fenomeno si fermi qui: potrebbero essere costruiti siti web ad hoc,
i cui link potrebbero arrivare anche dalle nostre parti. Quindi la
raccomandazione resta sempre la stessa: tenete aggiornate le
definizioni del vostro antivirus (se ne avete), fate attenzione alle
pagine web su cui navigate ed accettate di eseguire applet soltanto se
certificate da fonti ben note."

Da  
http://www.chimerarevo.com/2012/07/12/web-applet-java-minaccia-windows-linux-mac/
che cita a sua volta la fonte:
http://www.f-secure.com/weblog/archives/00002397.html

--
Leo
--
Puoi trovare informazioni sulle attivita' che stiamo organizzando anche su
http://www.avilug.it
Per il calendario degli incontri vai su
http://www.avilug.it/doku.php/calendario

Other related posts: