image

Java-bot kan Windows, Linux en Mac infecteren

woensdag 29 januari 2014, 11:06 door Redactie, 8 reacties

Onderzoekers hebben een kwaadaardige Java-applicatie ontdekt die op Windows, Mac OS X en Linux draait en besmette computers inzet voor het uitvoeren van DDoS-aanvallen. De bot is geheel geschreven in Java. Om de malware te verspreiden wordt een Java-lek gebruikt dat Oracle vorig jaar juni patchte.

Eenmaal actief plaatst de Java-bot zichzelf in de home directory van de gebruiker en stelt zich zo in dat de malware tijdens het opstarten van het systeem wordt geladen. Daarnaast wordt er verbinding met een IRC-server gemaakt. Besmette computers kunnen twee soorten DDoS-aanvallen uitvoeren, via UDP en HTTP, zo blijkt uit de analyse van Kaspersky Lab. Het Russische anti-virusbedrijf laat niet weten welke platformen door de malware zijn geinfecteerd en om hoeveel infecties het precies gaat.

Reacties (8)
29-01-2014, 11:18 door [Account Verwijderd] - Bijgewerkt: 29-01-2014, 11:18
[Verwijderd]
29-01-2014, 11:51 door Rene V
Tja, Java is niet zo simpel te verwijderen op Linux heb ik bemerkt. Maar gelukkig wordt deze wel heel scherp up-to-date gehouden.
29-01-2014, 12:05 door Anoniem
[qoute]Tja, Java is niet zo simpel te verwijderen op Linux heb ik bemerkt. Maar gelukkig wordt deze wel heel scherp up-to-date gehouden.[/quote]
Dus niet he...

aptitude purge openjdk-6-jre | java etc....

Op linux is het dus het makkelijkst om alles op te schonen. Heet package management. Stukken beter dan de installers van Windows, of de eigen implementatie van Apple.

TheYOSH
29-01-2014, 12:24 door Anoniem
Door Rene V: Tja, Java is niet zo simpel te verwijderen op Linux heb ik bemerkt. Maar gelukkig wordt deze wel heel scherp up-to-date gehouden.

Er is toch een groot verschil tussen de java browserplugin(waar je mee moet oppassen) en het java script , die volgens mij geen kwaad kan.
Ik maak nu 7 jaar gebruik van Debian(gnu/linux),en in al die jaren heb ik geen java browserplugin geïnstalleerd gehad,terwijl ik gewoon internet bankieren kan ,en tot op heden nog geen enkel virus heb binnengehaald.
Het java script hoef je niet te verwijderen, het gevaar schuilt in de java browserplugin , die zou ik eruit gooien !
mvg, gertjanh
29-01-2014, 13:06 door Anoniem
.. kwaadaardige Java-applicatie ..

Wat is het dan precies voor malware?
Voor de Mac, 2 (?) mogelijkheden :

- het is malware die binnenkomt via een geactiveerde Javabrowser plugin en het door de gebruiker accepteren van een aanvullende applet-functionaliteit (pop up waarschuwing met gele driehoek).
Oplossing : uitschakelen of verwijderen van je Java browserplugin (applet uitvoer) functionaliteit.

- het is een kwaadaardige Java applicatie die je hebt gedownload en bewust hebt geïnstalleerd (of je hebt auto-open na download in Safari aanstaan en de malware is gesigneerd).
Dan doet de browserplugin functionaliteit er niet toe want dan maakt de malware gebruik van de aanwezige Java (en eventueel daarbij nog python) functionaliteit.
Oplossing : uitschakelen van auto open functionaliteit in je browser, voorkomen/monitoren van drive by downloads, of verwijderen van je Java functionaliteit.

Meer algemene oplossing daarnaast is

- in ieder geval Java up to date houden
(Overigens nog steeds geen nieuwe update beschikbaar voor Apple Java 6
http://support.apple.com/kb/HT1222 ).

- Javascripts & iframes monitoren (NoScript, ..) voor/tegen detectie systeeminfo en redirects naar andere malware domeinen.
Met Javascript uit is het veel lastiger effectieve detectie-scripts op de bezoeker los te laten.

- als het kan voor plugins 'click_to_play' activeren in je browser.
29-01-2014, 13:20 door Ignitem
Door Rene V: Tja, Java is niet zo simpel te verwijderen op Linux heb ik bemerkt. Maar gelukkig wordt deze wel heel scherp up-to-date gehouden.
Java wordt op Ubuntu en afgeleiden standaard niet geïnstalleerd. En mocht je toch Java op je computer hebben, dan is het zo makkelijk te verwijderen als TheYOSH beschreven heeft. Daarnaast kun je natuurlijk ook de browser plug-in verwijderen.

Hopelijk bedoel je niet Javascript, want dat is compleet iets anders.
29-01-2014, 21:07 door Anoniem
TheYOSH
Op linux is het dus het makkelijkst om alles op te schonen. Heet package management. Stukken beter dan de installers van Windows, of de eigen implementatie van Apple.
De eigen implementatie van Apple moet je sowieso trashen en vervangen door die van Oracle.
Dan zit je ook niet meer aan Java 6 vast.

Overigens JavaScript != Java.
30-01-2014, 16:26 door Anoniem
When launched, the bot copies itself into the user’s home directory and sets itself to run at system startup. Depending on the platform on which the bot has been launched, the following method is used for adding it to autostart programs:

For Windows – HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Mac OS – the standard Mac OS service launchd is used
For Linux – /etc/init.d/
HKEY_CURRENT_USER is net als de home-directory van de user. Ik snap dat een programma, als het eenmaal wordt uitgevoerd, daar bij kan. Met OS/X en launchd ben ik niet bekend. Maar in /etc/init.d iets aanpassen, daar heb je root-rechten voor nodig, dat hoort niet zomaar te kunnen. Wat doet deze malware om dat voor elkaar te krijgen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.