Nieuwe Linux trojan ontdekt

VNUNet meldt dat er een nieuwe Linux trojan ontdekt is door het beveiligingsbedrijf Qualys. Dit virus duikt het eerste op in de /bin directory, waar het zogenaamde ELF-bestanden (Executable and Linking Format) infecteert en probeert zichzelf door te mailen. Daarnaast zet het UDP-poort 5503 of hoger open waardoor de aanvaller via TCP controle over de betreffende machine zou kunnen krijgen. Meer informatie kun je hier vinden en een meer info over het verwijderen is hier geplaatst.

Virus The Trojan contains self-replicating virus-like capabilities and has similarities to the Windows-based Back Orifice tool, putting Linux boxes at risk of remote control.

The so-called Remote Shell Trojan spreads through email as well as replicating itself across the infected system. It installs a backdoor which listens for incoming connections on UDP port 5503 or higher, and allows remote attackers to connect to, and take control of, an infected system.

The Trojan is most dangerous if it is executed by a privileged user as it inherits the credentials of that user, effectively allowing it to take full control.

Bedankt Bubbleguy, voor de link

Door Dries Arnolds

Frontpage Admin

Feedback • 08-09-2001 12:30 34

08-09-2001 • 12:30

34

Bron: VNUNet

Lees meer

Linux-trojan maakt screenshots en neemt audio op
Linux-trojan maakt screenshots en neemt audio op Nieuws van 19 januari 2016
Sendmail 8.12.6 bevat een Trojan
Sendmail 8.12.6 bevat een Trojan Nieuws van 9 oktober 2002
AnandTech over Linux
AnandTech over Linux Nieuws van 25 oktober 2001
Experts keuren Code Red II 'cleanup worm' plan af
Experts keuren Code Red II 'cleanup worm' plan af Nieuws van 6 september 2001
Eerste worm ontdekt in Windows desktop theme
Eerste worm ontdekt in Windows desktop theme Nieuws van 4 september 2001
Solcon schakelt virussen in e-mail uit
Solcon schakelt virussen in e-mail uit Nieuws van 2 september 2001
Jonathan Wignall: Webworm op komst
Jonathan Wignall: Webworm op komst Nieuws van 13 augustus 2001
Meer producten en artikelen
Software

Reacties (34)

-Moderatie-faq
34
32
25
9
2
0
Wijzig sortering

Sorteer op:

Weergave:
Aaargh! 8 september 2001 12:41
Het virus verspreid als een e-mail attachment.

wat je dus moet doen om het virus te krijgen.
- mail ontvangen met het virus er aan.
- file naar HD saven
- file executable maken (chmod u+x filenaam)
- file starten ( ./filenaam)

en dan nog kan ie alleen bij de files van die ene gebruiker. voor echt gevaar zou je eerst moeten su-en naar root en 'm dan runnen.
Dit virus duikt het eerste op in de /bin directory (...)
Een gewone gebruiker heeft geen schrijfaccess op deze files. je zou dus eerst moeten su-en naar root voordat het virus dit kan doen.

ik hoop dat er een goeie installatie handleiding bij het virus zit, want mensen die zo stom zijn om dit te willen runnen weten vast ook niet hoe ze deze file executen :)
TheGhostInc @Aaargh!9 september 2001 00:03
Je wil niet weten hoeveel mensen op GoT de installatie handeling geven als je er om vraagt.
Want een Linux gebruiker is vaak nog fanatieker als een Windows gebruiker, en zal vak veel proberen om het aan de praat te krijgen.
Dus als ze zo'n mailtje krijgen, en daarna de melding krijgen dat ze root moeten zijn om het uit te voeren, dan su-en die mensen rustig naar root om daarna geinfecteerd te worden.

* 786562 TheGhostInc
AntiChris @TheGhostInc9 september 2001 01:27
Right...
Laat ik voorop stellen dat het hier nu om mijn persoonlijke mening gaat en hoe ik met mijn systeem omga, misschien gaan anderen er anders mee om.
Ten eerste wil ik altijd de source hebben van programma's en het vervolgens zelf compileren (tenzij het al in Debian zit, dan kan je uitgaan van veiligheid).
Ten tweede kijk ik altijd al argwanend naar binary-only software, omdat dat gewoon niet vrij is en dus niet bij Linux past.

Een normaal mens werkt trouwens nooit als root tenzij het echt nodig is. Maargoed, zoals gezegd, ieder zijn ding en ieder zijn systeem.

* 786562 AntiChris

Nogal opgeblazen gedoe allemaal.
TumbleCow @TheGhostInc9 september 2001 12:08
mwaa, dan denk ik dat je *echt* tijd te veel hebt..

* 786562 wHiTeRaZoR
Verwijderd 8 september 2001 12:41
Ik ben bang dat, nu meer en meer mensen overstappen op Linux (newbies), het aantal virussen en besmettingen ook toe zal gaan nemen. Ongeacht het veilige karakter van Linux.
RG @Verwijderd8 september 2001 13:51
Ach zolang je niet als root werkt (en dat is regel nummer 1 bij UNIX) is er niks aan de hand.
LuCarD @RG9 september 2001 21:48
Maar zeiden ze dat ook niet over W2K IIS5.0.....
'Zolang je netjes alle updates doet dan is IIS5.0, erg veilig .....'

En toch is er Code Redworm green worm enzo.....

Een systeem is zo veilig als de gebruiker. Maar misschien is een virus voor linux wel zo goed.... dan weerhoudt dat misschien mensen op blind over te stappen naar een "veilig" os.
Mr.Aargh @RG8 september 2001 15:54
foutje (van mij fcourse)
gridfox 8 september 2001 12:56
Ik heb de indruk dat zo'n trojan inspringt op een grote bedreiging voor de veiligheid van Linux als OS. Nieuwe gebruikers die na installatie onder user root blijven inloggen (dat installeert lekker makkelijk).
blouweKip @gridfox9 september 2001 22:15
Bovendien kun je standaard in linux veel makkelijker werken in een andere user dan in win2k/xp, bij die laaste moet je haast wel admin zijn om fatsoelijk te kunnen werken
DeuTeRiuM @gridfox8 september 2001 13:37
Nah, valt wel mee.
In elke distro wordt je wel duidelijk gemaakt dat je zo min mogelijk als root moet draaien. En zeker dat je niet als root moet inloggen om het zeg maar te gebruiken voor mail etc...
Bovendien ben je nooit echt newbe als je linux installeert, de meeste mensen weten dan wel wat van virii.
Mochten ze toch newbe zijn, dan moeten ze chmod nog maar kennen en dan ook nog snappen.
nospam 8 september 2001 12:42
Niets aan de hand. Je zult deze trojan eerst toegemailt moeten krijgen. En wie is er nu zo stom om een binary executable te openen die die als attachement toegestuurd krijgt?! Plus je moet het nog zelfs als root openen omdat je dan alleen de goede rechten hebt... En ik ken niemand die zo stom is dat hij/zij z'n/haar mail leest onder root...

Nog iets een beetje beheerder zorgt voor een firewall die de meeste poorten blokkeert dus ook poort 5503 (UDP), tenzij de trojan ook de firewall weet aan te passen is er dus dan nog niet veel aan de hand...
Ortep @nospam10 september 2001 11:17
En wie is er nu zo stom om een binary executable te openen die die als attachement toegestuurd krijgt?!
Uit de ervaring van de laatste paar jaar? Ongeveer 80% van de mensen denk ik.
aKra 8 september 2001 12:42
Hmmm, weer een nieuwe trojan, wat wel toepasselijk is is dat deze niet via zogeheten 'hacks' binnenkomt, maar gewoon via de e-mail... Maar, je kan een attachment zeer goed bekijken met linux, dus een beetje serieuze man/vrouw valt het dus wel op...

Just my 2 cents.
basb 8 september 2001 13:10
Hmm Dit is wel veel ophef over niks:
Als je gaat kijken naar het aantal gebruikers dat gevoelig is....
ten eerste moet diegene totaal niet ervaren zijn met pc's om hem zover te krijgen dat ie de mail zomaar uitvoerd

Ten 2e je moet een persoon hebben met root rechten die zijn gewone mail op zijn linux pc/server leest.

Als je alleen al deze 2 voorwaarden combineert... Een ontwetend persoon met root acces die zijn gewone mail leest op linux.......
Dat zijn heel weinig mensen :)
Dus ik maak me over dit soort trojans geen zorgen
Verwijderd 8 september 2001 13:27
Daarnaast zet het UDP-poort 5503 of hoger open waardoor de aanvaller via TCP controle over de betreffende machine zou kunnen krijgen.
Uh...UDP poort openzetten om via TCP controle te krijgen :?
Verwijderd @Verwijderd8 september 2001 16:24
/grappig mode

Met Linux kan alles :)

/grappig mode
Verwijderd 9 september 2001 12:24
waarom heet dit een trojan? hij mailt (worm?) en hij infect (virus).

ik denk dat virus een betere naam is. maar tegenwoordig noemt iedereen alles wat stout en eng is een virus dus.. boeiend.
Conti @Verwijderd9 september 2001 12:35
Omdat het poorten open zet waardoor iemand binnen kan vallen.

En op de manier dat het het doet, ach je kent het verhaal van de trojan horse denk ik toch wel?
0siris @Conti9 september 2001 21:59
"The Trojan Horse" was Grieks, niet Engels :Y)
0siris 8 september 2001 16:21
vi /etc/aliases <enter>
Hierin nieuwe entry maken:
root: gebruikersnaam
<esc>:wq<enter>
newaliases

Hoppaars...en je hoeft als root geen mail meer te openen...
En dit is slechts een van de vele dingen die je kan doen, je kan ook bijv. alle mail met een attachment die naar root worden gestuurd weggooien, of alleen mail voor root van 127.0.0.1, 10.0.0.x of 192.168.x.x accepteren, dus niet meer van buitenaf.

Ik lul ook maar wat :+
metaal @0siris8 september 2001 20:12
Ik weet het niet zeker meer, maar volgens mij is het met de qmail server niet eens mogelijk om email direct naar root te sturen. Die email moet altijd met een alias omgeleid worden.

Kan zijn dat ik er naast zit... tis alweer lang geleden
Verwijderd 8 september 2001 19:32
Een beetje off-topic maar een hoop virussen worden volgens mij geschreven door de Anti-virus bedrijven zelf. Dit uiteraard om te overleven.
0siris @Verwijderd9 september 2001 00:20
beetje "Conspiracy Theory"-achtig...die bedrijven zouden moeten weten dat een beetje Linux administrator eerder werkt aan het zorgen dat er via root niets engs kan gebeuren, dan dat-ie een third party product moet kopen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq