Nieuws
image

Linux-Mac malware nog in testfase

donderdag 27 oktober 2011, 09:25 door Redactie, 7 reacties

De makers van de Tsunami Trojan voor Mac OS X hebben een nieuwe versie van hun creatie uitgebracht, om Apple computers blijven te infecteren. De malware is een port van een bekende Linux backdoor en laat aanvallers DDoS-aanvallen via besmette machines uitvoeren. De nieuwste versie kopieert zichzelf naar /usr/sbin/logind en voegt zichzelf aan de plist toe, zodat het na elke herstart van het systeem wordt geladen.

Verder is er een nieuwe Command & Control IRC-server en IRC-kanaal toegevoegd waarmee de makers besmette machines kunnen aansturen. De dreiging van de Tsunami is nog altijd zeer beperkt. Anti-virusbedrijf ESET ontving slechts twee exemplaren van de malware en ook uit andere cijfers zou blijken dat nog maar weinig machines besmet zijn.

Testfase
"We denken dat de mensen achter deze dreiging hun creatie aan het testen zijn. Ze zijn waarschijnlijk de code, die origineel voor Linux werd geschreven, voor het OS X platform aan het aanpassen", zegt Pierre-Marc Bureau. Volgens de analist is er nog geen specifieke infectievector bekend. De malware kan handmatig of op geautomatiseerde wijze worden geïnstalleerd.

Reacties (7)
27-10-2011, 10:57 door Anoniem
Als ze in linux nou eerst eens normale mapbenamingen zouden gebruiken ipv algebra, dan zouden er veel meer mensen met linux gaan werken. Ik snap die ontwikkelaars niet: ze doen mega-veel moeite om het gebruiksvriendelijker te krijgen en fundamentele dingen als dat doen ze niets mee. Dom.
Maar ja, daardoor wel weinig virii voor linux. Dus ach... wat Cruijff ooit zei ;-)
27-10-2011, 12:16 door Anoniem
de mapbenaming kan je zelf kiezen hoor, er is gewoon een standaard die bestaat en die word gevolgd (bv http://www.pathname.com/fhs/)

Maar de link tussen mapbenaming & virii snap ik ni echt...
27-10-2011, 12:28 door dutchfish
@anoniem

Je schreef 'Als ze in linux nou eerst eens normale mapbenamingen zouden gebruiken'....

De vraag kan je beter andersom stellen, m.a.w. als ze in windows eens de mapbenamingen consistenter zouden opstellen ....

Zo maar iets roepen om wat te roepen snijdt geen hout.

De linux/unix structuur van het filesysteem met als basis root ( / ) is een doordacht sjabloon wat de gebruiker ontheft van fysieke paden op een transparante manier. Kijk eens een keer in /etc/fstab en lees eens een paar MAN pages na voordat je zomaar wat roept.

Mijn 5 centen
27-10-2011, 14:24 door SirDice
Door dutchfish: lees eens een paar MAN pages na voordat je zomaar wat roept.
FreeBSD heeft een mooie daarvoor, hier(7).

http://www.freebsd.org/cgi/man.cgi?query=hier&apropos=0&sektion=0&manpath=FreeBSD+8.2-RELEASE&arch=default&format=html

Al moet ik zeggen dat, in vergelijking met FreeBSD, de layout bij de meeste linux distributies een zooitje is. Niks staat op plekken waar ik het verwacht en, dit is nog het ergste, bij een andere linux distributie staan dingen vaak weer op een andere plek.
27-10-2011, 14:59 door SirDice
En even terug on-topic.
De nieuwste versie kopieert zichzelf naar /usr/sbin/logind en voegt zichzelf aan de plist toe, zodat het na elke herstart van het systeem wordt geladen.
Da's niet zo slim geweest van ze. Nu zijn er admin rechten nodig om het ding te installeren. Terwijl de originele Kaiten prima werkt op een gewoon user account (het werkt zelfs op nobody of www).

Aangezien de meeste Mac gebruikers toch altijd hetzelfde account gebruiken (of zelfs daarmee automatisch inloggen) hadden ze beter een andere opstartvector kunnen gebruiken. Dan was er geen admin password nodig geweest.
27-10-2011, 20:51 door Anoniem
SirDice +1
29-10-2011, 00:43 door Anoniem
Geweldig, ik wist niet dat er zoiets bestond als logind, met een d erachter lijkt het alsof het iets van een daemon moet voorstellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search