Wirusy i inne zagrożenia w Linuksie


2014.11.27 - BackDoor
Linux.BackDoor.Fgt.1 potrafi wykonywać następujące polecenia:
2013.08.08 - Trojan
Wykryto Trojan o nazwie Hand of Thief, który ma za zadanie wykradanie danych bankowych klientów korzystających z Linuksa. Trojan nasłuchuje sesje HTTP i HTTPS na większości przeglądarek (m.in. Firefox i Chrome), posiada wbudowanego backdoora, blokuje wybrane adresy aby utrudnić pozbycie się go oraz zabezpieczenie przed zdebugowaniem.
Trojan działa na 15 różnych dystrybucjach Linuksa — w tym na Ubuntu, Fedorze oraz Debianie — i obsługuje 8 środowisk graficznych, m.in. najpoularniejsze GNOME i KDE.
2012.08.08 - BackDoor
Głównym celem BackDoor.Wirenet.1 jest wykradanie haseł z przeglądarek internetowych: Opera, Chrome, Firefox, Chromium oraz aplikacji Thunderbird, SeaMonkey i Pidgin.
Po uruchomieniu tworzy kopię w katalogu domowym użytkownika, uruchamia swój wbudowany keylogger i komunikuje się ze swoim serwerem pod adresem 212.7.208.65. Dodatkowo cała komunikacja pomiędzy maszynami jest szyfrowana algorytmem AES.
2009.05.18 - Trojany
Niedawno wykryto Trojany Mailfinder.Perl.Hnc.a oraz Dropper.Linux.Prl.a dla Linuksa.
Pierwszym z nich to skrypt perlowy, który łączy się z serwerem poleceń, aby uzyskać tekst oraz listę odbiorców do wysyłek spamowych.
Drugi to plik wykonywalny, który deszyfruje skrypt perlowy, uruchamia interpreter skryptów perlowych, a potem przekazuje mu odszyfrowany plik.
Według Kaspersky Lab tymi trojanami zainfekowane są głównie serwery.
2009.03.26 - Rootkit w BIOSie
Na konferencji CanSecWest przedstawił procedurę, w której rootkit zapisywał się w pamięci typu flash BIOSu. Taki rootkit jest niewrażliwy na formatowanie dysków czy ich wymianę oraz trudno go namierzyć i usunąć.
2009.03.24 - Pierwszy botnet linuksowy
Pierwszy botnet linuksowy utworzony został w wyniku działania robaka psyb0t, który atakował routery i modemy działających pod Linuksem.
Szacunkowo składa się on z ponad 100 tysięcy urządzeń. Psyb0t rozprzestrzeniał się gdyż hasła były za proste lub ich brakowało. Przez to robak przejmował kontrolę nad urządzeniem i dołączał je do botnet przez kanał IRC.
Kanał ten rzekomo już nie istnieje, ale ponawiane ataki DDoS na DroneBL DNS Blacklist mówią nam, że działa nadal.

2008.09.05 - Rootkit dla Linuksa
Rootkit dla Linuksa o nazwie DR, opracowany został przez firmę Immunity Inc i wydany na licencji GPLv2.
Udaje on debuger jądra i tworzy backdoory i malware, które są trudne do wykrycia oraz usunięcia. Aktualnie DR nie działa na równoległych systemach wieloprocesorowych oraz nie potrafi ukryć się w jądrze systemu. Dlatego też w tej chwili łatwiej go wykryć i usunąć.

2008.07.28 - Atak na DNS
Cache poisoning czyli zatruwanie pamięci serwera DNS. Jest to metoda ataku na serwery DNS, dzięki odpowiednio spreparowanym zapytaniom. W wyniku tego możliwe jest przekierowanie ruchu pod inny adres IP.

2008.02.11 - Explolit na jądro
Pojawił się explolit, który pozwala na podniesienie uprawnień użytkownika do praw root w kernelach od 2.6.17 do 2.6.24.1.
Błąd jest w funkcji vmsplice(), która przesyła dane bezpośrednio z przestrzeni użytkownika do deskryptora.
Dane są przesyłane bezpośrednio w jądrze, bez bufora w przestrzeni użytkownika i bez przełączania do trybu użytkownika.
2007.11.03 - Ataki na drukarki
Secunia odkryła błąd przepełnienia bufora w CUPS. Według tej firmy wystarczą odpowiednio spreparowane tagi textWithLanguage lub nameWithLanguage, aby przejąć kontrolę.

2007.10.11 - Cross-build injection attacks
Jest to atak o nazwie Cross-build injection attacks, pozwalający crakerowi na wprowadzenie złośliwego kodu do aplikacji podczas jej tworzenia.
Fortyfy Software twierdzi, że podatne na ten atak są open-source'owe narzędzia do tworzenia dedykowanych aplikacji, ponieważ odkryło, że programy tego typu podczas tworzenia aplikacji automatycznie pobierają zewnętrzne składniki. Wtedy można pobrać tworzony kod źródłowy projektu, a następnie podmienić go na wersję zawierającą trojany czy inne złośliwe oprogramowanie.

2007.10.06 - Dziurawa Java
Sun Microsystems opublikowało poprawki uniemożliwiające uzyskanie nieautoryzowanego dostępu do komputerów z Linuksen i JRE w wersjach 1.3, 1.4, 5, 6.

2007.10.03 - Ataki z Bootnetu
Dave Cullinane specjalista od spraw bezpieczeństwa w Banku Washington Mutual, analizując dane dotyczące ataku z botneta stwierdza, że
"zdecydowana większość szkodliwych witryn znajdowała się na komputerach pracujących pod kontrolą Linux'a, co nas bardzo zdziwiło. Spodziewaliśmy się znacznej przewagi maszyn z Windows, ale tym razem było inaczej".

2007.05.22 - "SB/Badbunny-A" - robak atakujący dokumenty Open Office
Firma Sophos wykryła robaka atakującego użytkowników pakietu OpenOffice.org.
Robak zachowyje się w różny sposób, który jest zależny od systemu operacyjnego i dodatkowo jest wyświetlany obrazek z królikiem.
Aktywacja robaka następuje po otworzeniu spreparowanego rysunku Open Office o nazwie badbunny.odg. W systemie pojawiają się pliki badbunny.pl (skrypt Xchat) oraz badbunny.pl (wirus Perl).

2006.04 - "Virus.Linux.Bi.a/Virus.Win32.Bi.a".
Kilkanaście dni temu firma Kaspersky Lab ostrzegała świat przed nową generacją wirusów, które - jej zdaniem - będą potrafiły zarażać zarówno komputery pracujące pod kontrolą systemu Windows, jak i Linux.
Aby doszło do zarażenia, użytkownik musi otworzyć plik na swoim komputerze. Infekcja obejmie tylko katalog, w którym znajduje się wirus, a zainfekowane pliki nie są niszczone. Wirus dorzuca do nich tylko ciąg znaków.
Przeprowadzone testy wykazały jednak, że wirus nie chce pracować pod ostatnimi wersjami jądra 2.6.
Podała nawet przykład pierwszego kodu typu proof-of-concept, który już wpadł w ręce ekspertów. Wydaje się, że ostrzeżenia były przedwczesne.
Jak się okazało, żeby Virus.Linux.Bi.a/Virus.Win32.Bi.a mógł sprawnie zadziałać na obydwu systemach, najpierw trzeba naprawić błąd w kompilatorze gcc używanym przez Linuksa. Poprawkę opracował Linus Torvalds. Jak opisuje na łamach serwisu NewsForge.com, bug nie miał wpływu na działanie większości programów, jednak skutecznie uniemożliwiał poprawne działanie ujawnionego przez Kaspersky Lab rzekomo złośliwego kodu.
Torvalds podważył ponadto nazwanie przez firmę Kaspersky Lab wirusem kodu Virus.Linux.Bi.a.
Jego zdaniem, jest to program, który potrafi zapisywać w plikach, które na to pozwalają i nie ma w tym nic dziwnego. Po prostu robi to w dosyć specyficzny sposób.

2005.11.08 - Robak "Lupper".
W internecie rozprzestrzenia się nowy robak o nazwie Lupper, który wyspecjalizowany jest w atakowaniu komputerów pracujących pod systemem Linux.
Na zainfekowanych maszynach robak pozostawia otwarte "tyle drzwi", udostępniając tym samym hackerom możliwość przejęcia zdalnej kontroli nad systemem. Luka umożliwiająca robakowi szkodliwe działanie znajduje się w XML-RPC dla PHP, tak więc zagrożenie dotyczy przede wszystkim tych komputerów, na których zainstalowane są aplikacje WordPress, Drupal, PostNuke, czy TikiWiki.
Na szczęście do tej pory odnotowano bardzo mało udanych infekcji, a firma McAfee określa poziom ryzyka związanego z infekcją robakiem Lupper jako niskie. Z kolei Symantec określa to ryzyko jako średnie, przy czym potwierdza, że liczba wykrytych infekcji jest na razie niewielka.

2002 - robak Slapper.
Jest to robak internetowy, który rozprzestrzenia się wykorzystując błąd związany z przepełnieniem bufora w serwerze Apache z protokołem SSL.

2001.01 - wirus "Ramen"
Jest to pierwszy znany robak infekujący komputery pracujące pod kontrolą systemu Red Hat. Wirus rozprzestrzenia się przy użyciu dziury w zabezpieczeniach znanej jako "buffer overrun", umożliwiającej przesłanie do atakowanego komputera małego fragmentu kodu, który po uruchomieniu pobiera i uruchamia główny komponent robaka.

1997.01 - wirus "Linux Bliss".
Wyszukuje wszystkie pliki do których może pisać i infekuje je swoją kopią. Potrafi także wykryć starszą wersję siebie i podmienić ją. Próbuje także przywrócić datę modyfikacji zainfekowanego pliku. Przerywa działanie, gdy jest śledzony debuggerem lub programem strace

do góry