martedì 17 settembre 2013

Nuovo trojan per Linux è munito di un vasto arsenale di funzioni dannose

Fonte: http://www.freedrweb.com/show/?i=3868&c=19&lng=it

Doctor Web — produttore russo di software per la sicurezza informatica — informa che è stato rilevato un nuovo malware per Linux, nominato Linux.Hanthie. Un'indagine mostra che questo trojan (anche conosciuto come Hand of Thief, cioè "mano del ladro" in inglese) dispone di molteplici funzioni dannose e può nascondere la sua presenza nel sistema dai programmi antivirus.


Oggi questo programma malevolo ha una grande popolarità sui forum clandestini di hacker, dove i malintenzionati lo vendono attivamente. Il prodotto Linux.Hanthie si posiziona come un bot della classe FormGrabber o un BackDoor per il SO Linux che dispone di funzioni anti-rilevamento e di un caricamento automatico nascosto, non richiede i privilegi di amministratore e usa la crittografia forte (256 bit) per la comunicazione con il pannello di controllo. Il bot può essere configurato in modo flessibile mediante il file di configurazione.

Quando è avviato, il trojan blocca l'accesso del computer agli indirizzi da cui si scaricano software o aggiornamenti antivirali. Il trojan può resistere all'analisi e all'avvio in ambienti isolati o virtuali.

La versione corrente di Linux.Hanthie non ha meccanismi di replicazione automatica perciò sui forum di hacker i creatori del trojan consigliano di propagarlo tramite metodi del social engineering. Il trojan può funzionare in diverse distribuzioni Linux, comprese Ubuntu, Fedora e Debian, e supporta otto tipi di ambienti desktop, per esempio GNOME e KDE.

Una volta avviato, l'installer del malware verifica la propria presenza nel sistema e controlla se sul computer sia in esecuzione una macchina virtuale. Quindi Linux.Hanthie si installa nel sistema creando un file di esecuzione automatica e collocando una copia di se stesso in una cartella sul disco. Nella cartella di file temporanei, il trojan crea una libreria eseguibile e cerca di incorporarla in tutti i processi in esecuzione. Se il trojan non riesce a incorporare la libreria in qualche processo, dalla cartella temporanea avvia un nuovo file eseguibile la cui unica funzione è interagire con il server di controllo e quindi elimina la copia iniziale.

Il trojan è composto da più moduli funzionali, uno dei quali è una libreria che contiene il payload principale del malware. Utilizzando questa libreria, il trojan incorpora un "grabber" (un programma ideato per rubare dati) nei browser Mozilla Firefox, Google Chrome, Opera, nonché nei browser Chromium e Ice Weasel che funzionano esclusivamente sotto Linux. Il "grabber" consente di intercettare le sessioni HTTP e HTTPS e di inviare ai malintenzionati i dati inseriti dagli utenti in formulari su diverse pagine web. Inoltre, questa libreria svolge le funzioni di un backdoor, e in tale caso i dati scambiati con il server di controllo vengono cifrati.

Il trojan può eseguire sulla macchina infettata alcuni comandi impartiti su remoto. Per esempio, il comando "socks" avvia un proxy server, il comando "bind" lancia uno script che ascolta le porte, il comando "bc" connette il computer al server remoto, il comando "update" scarica e installa una versione aggiornata del trojan e il comando "rm" rimuove il trojan stesso. Al tentativo di accedere agli script avviati "bind" o "bc", il trojan restituisce nella console il seguente messaggio:





Un altro modulo consente al trojan di realizzare alcune funzioni senza eseguire inject.

La firma antivirale corrispondente è stata aggiunta ai database del software Dr.Web che rileva e rimuove il trojan con successo.

Nessun commento:

Posta un commento