Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: VNUNet

VNUNet meldt dat er een nieuwe Linux trojan ontdekt is door het beveiligingsbedrijf Qualys. Dit virus duikt het eerste op in de /bin directory, waar het zogenaamde ELF-bestanden (Executable and Linking Format) infecteert en probeert zichzelf door te mailen. Daarnaast zet het UDP-poort 5503 of hoger open waardoor de aanvaller via TCP controle over de betreffende machine zou kunnen krijgen. Meer informatie kun je hier vinden en een meer info over het verwijderen is hier geplaatst.

Virus The Trojan contains self-replicating virus-like capabilities and has similarities to the Windows-based Back Orifice tool, putting Linux boxes at risk of remote control.

The so-called Remote Shell Trojan spreads through email as well as replicating itself across the infected system. It installs a backdoor which listens for incoming connections on UDP port 5503 or higher, and allows remote attackers to connect to, and take control of, an infected system.

The Trojan is most dangerous if it is executed by a privileged user as it inherits the credentials of that user, effectively allowing it to take full control.

Bedankt Bubbleguy, voor de link

Moderatie-faq Wijzig weergave

Reacties (34)

Het virus verspreid als een e-mail attachment.

wat je dus moet doen om het virus te krijgen.
- mail ontvangen met het virus er aan.
- file naar HD saven
- file executable maken (chmod u+x filenaam)
- file starten ( ./filenaam)

en dan nog kan ie alleen bij de files van die ene gebruiker. voor echt gevaar zou je eerst moeten su-en naar root en 'm dan runnen.
Dit virus duikt het eerste op in de /bin directory (...)
Een gewone gebruiker heeft geen schrijfaccess op deze files. je zou dus eerst moeten su-en naar root voordat het virus dit kan doen.

ik hoop dat er een goeie installatie handleiding bij het virus zit, want mensen die zo stom zijn om dit te willen runnen weten vast ook niet hoe ze deze file executen :)
Je wil niet weten hoeveel mensen op GoT de installatie handeling geven als je er om vraagt.
Want een Linux gebruiker is vaak nog fanatieker als een Windows gebruiker, en zal vak veel proberen om het aan de praat te krijgen.
Dus als ze zo'n mailtje krijgen, en daarna de melding krijgen dat ze root moeten zijn om het uit te voeren, dan su-en die mensen rustig naar root om daarna geinfecteerd te worden.

* 786562 TheGhostInc
Right...
Laat ik voorop stellen dat het hier nu om mijn persoonlijke mening gaat en hoe ik met mijn systeem omga, misschien gaan anderen er anders mee om.
Ten eerste wil ik altijd de source hebben van programma's en het vervolgens zelf compileren (tenzij het al in Debian zit, dan kan je uitgaan van veiligheid).
Ten tweede kijk ik altijd al argwanend naar binary-only software, omdat dat gewoon niet vrij is en dus niet bij Linux past.

Een normaal mens werkt trouwens nooit als root tenzij het echt nodig is. Maargoed, zoals gezegd, ieder zijn ding en ieder zijn systeem.

* 786562 AntiChris

Nogal opgeblazen gedoe allemaal.
mwaa, dan denk ik dat je *echt* tijd te veel hebt..

* 786562 wHiTeRaZoR
Ik ben bang dat, nu meer en meer mensen overstappen op Linux (newbies), het aantal virussen en besmettingen ook toe zal gaan nemen. Ongeacht het veilige karakter van Linux.
Ach zolang je niet als root werkt (en dat is regel nummer 1 bij UNIX) is er niks aan de hand.
Maar zeiden ze dat ook niet over W2K IIS5.0.....
'Zolang je netjes alle updates doet dan is IIS5.0, erg veilig .....'

En toch is er Code Redworm green worm enzo.....

Een systeem is zo veilig als de gebruiker. Maar misschien is een virus voor linux wel zo goed.... dan weerhoudt dat misschien mensen op blind over te stappen naar een "veilig" os.
foutje (van mij fcourse)
Ik heb de indruk dat zo'n trojan inspringt op een grote bedreiging voor de veiligheid van Linux als OS. Nieuwe gebruikers die na installatie onder user root blijven inloggen (dat installeert lekker makkelijk).
Bovendien kun je standaard in linux veel makkelijker werken in een andere user dan in win2k/xp, bij die laaste moet je haast wel admin zijn om fatsoelijk te kunnen werken
Nah, valt wel mee.
In elke distro wordt je wel duidelijk gemaakt dat je zo min mogelijk als root moet draaien. En zeker dat je niet als root moet inloggen om het zeg maar te gebruiken voor mail etc...
Bovendien ben je nooit echt newbe als je linux installeert, de meeste mensen weten dan wel wat van virii.
Mochten ze toch newbe zijn, dan moeten ze chmod nog maar kennen en dan ook nog snappen.
Niets aan de hand. Je zult deze trojan eerst toegemailt moeten krijgen. En wie is er nu zo stom om een binary executable te openen die die als attachement toegestuurd krijgt?! Plus je moet het nog zelfs als root openen omdat je dan alleen de goede rechten hebt... En ik ken niemand die zo stom is dat hij/zij z'n/haar mail leest onder root...

Nog iets een beetje beheerder zorgt voor een firewall die de meeste poorten blokkeert dus ook poort 5503 (UDP), tenzij de trojan ook de firewall weet aan te passen is er dus dan nog niet veel aan de hand...
En wie is er nu zo stom om een binary executable te openen die die als attachement toegestuurd krijgt?!
Uit de ervaring van de laatste paar jaar? Ongeveer 80% van de mensen denk ik.
Hmmm, weer een nieuwe trojan, wat wel toepasselijk is is dat deze niet via zogeheten 'hacks' binnenkomt, maar gewoon via de e-mail... Maar, je kan een attachment zeer goed bekijken met linux, dus een beetje serieuze man/vrouw valt het dus wel op...

Just my 2 cents.
Hmm Dit is wel veel ophef over niks:
Als je gaat kijken naar het aantal gebruikers dat gevoelig is....
ten eerste moet diegene totaal niet ervaren zijn met pc's om hem zover te krijgen dat ie de mail zomaar uitvoerd

Ten 2e je moet een persoon hebben met root rechten die zijn gewone mail op zijn linux pc/server leest.

Als je alleen al deze 2 voorwaarden combineert... Een ontwetend persoon met root acces die zijn gewone mail leest op linux.......
Dat zijn heel weinig mensen :)
Dus ik maak me over dit soort trojans geen zorgen
Daarnaast zet het UDP-poort 5503 of hoger open waardoor de aanvaller via TCP controle over de betreffende machine zou kunnen krijgen.
Uh...UDP poort openzetten om via TCP controle te krijgen :?
/grappig mode

Met Linux kan alles :)

/grappig mode
waarom heet dit een trojan? hij mailt (worm?) en hij infect (virus).

ik denk dat virus een betere naam is. maar tegenwoordig noemt iedereen alles wat stout en eng is een virus dus.. boeiend.
Omdat het poorten open zet waardoor iemand binnen kan vallen.

En op de manier dat het het doet, ach je kent het verhaal van de trojan horse denk ik toch wel?
"The Trojan Horse" was Grieks, niet Engels :Y)
vi /etc/aliases <enter>
Hierin nieuwe entry maken:
root: gebruikersnaam
<esc>:wq<enter>
newaliases

Hoppaars...en je hoeft als root geen mail meer te openen...
En dit is slechts een van de vele dingen die je kan doen, je kan ook bijv. alle mail met een attachment die naar root worden gestuurd weggooien, of alleen mail voor root van 127.0.0.1, 10.0.0.x of 192.168.x.x accepteren, dus niet meer van buitenaf.

Ik lul ook maar wat :+
Ik weet het niet zeker meer, maar volgens mij is het met de qmail server niet eens mogelijk om email direct naar root te sturen. Die email moet altijd met een alias omgeleid worden.

Kan zijn dat ik er naast zit... tis alweer lang geleden
Een beetje off-topic maar een hoop virussen worden volgens mij geschreven door de Anti-virus bedrijven zelf. Dit uiteraard om te overleven.
beetje "Conspiracy Theory"-achtig...die bedrijven zouden moeten weten dat een beetje Linux administrator eerder werkt aan het zorgen dat er via root niets engs kan gebeuren, dan dat-ie een third party product moet kopen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True