Como parte da sua instalação, o rootkit adiciona a linha “insmod /lib/modules/2.6.32 5-amd64/kernel/sound/module_init.ko” aos scripts de inicialização. Leia também: Rootkit infects Linux web servers.
Via g1.globo.com:
Um administrador de sistemas publicou na lista de segurança “Full Disclosure” uma informação sobre um servidor Linux que foi comprometido para alterar as páginas web servidas com um código capaz de infectar sistemas Windows de visitantes.
O código, que era até então desconhecido, infecta o sistema Linux agindo como um “rootkit”. Em outras palavras, o programa não aparece na lista de tarefas em execução do sistema. Ele é injetado diretamente no kernel para alterar funções do sistema operacional. De acordo com uma análise da fabricante de antivírus Kaspersky, a praga foi especificamente desenvolvida para atacar sistemas 64-bit baseados na distribuição Debian Squeezy.
A alteração do conteúdo enviado ocorre com uma modificação na função do sistema que constrói os pacotes TCP/IP. O administrador que relatou o ataque descobriu respostas alteradas em um servidor de proxy usando o software “nginx”, mas não se sabe se outros softwares poderiam também ter a resposta alterada pela praga.
Usuários de Windows que visitarem páginas de um site hospedado em um servidor infectado podem também ser infectados por pragas digitais se não estiverem com o navegador web e plug-ins atualizados. (…)
Enviado por Alexandro Silva (alexoslabsΘgmail·com):
Segundo stack trace, vítima do ataque, o malware adiciona um iFrame malicioso na resposta HTTP enviada pelo servidor web. Após o comprometimento o servidor passa a encaminhar as requisições para outros sites maliciosos, além disso um Blackhole varre o host do visitante a procura de falhas no Java, Flash entre outras aplicações rodando na máquina cliente.
Foi descoberto até o momento um módulo especifico para o kernel 2.6.32-5-amd64, presente no Debian Linux. Pesquisadores da Karpersky Labs nomearam o malware como Rootkit.Linux.Snakso.a, outra análise bastante interessante é do pesquisador Georg Wicherski da CrowdStrike, ele considerou o rootkit como parte da operação do cybercrime e que pelas técnicas adotadas foi desenvolvido por programador russo sem muito conhecimento do kernel.” [referência: blog.alexos.com.br]
0sem comentários ainda