Een Trojaans paard dat Linux-servers besmet is na de Verenigde Staten en
Oekraïne het actiefst in Nederland. Hoe de malware zich precies
verspreidt laat het Russische anti-virusbedrijf Dr. Web niet weten, maar
de Trojan zou zich als een library bestand voor 32-bit en 64-bit
versies van Linux-distributies voordoen. Is de malware actief, dan
injecteert die code in de SSH daemon.
Zodra een gebruiker op het systeem inlogt worden inloggegevens naar
een remote server doorgestuurd. Het adres van deze server staat hard
geprogrammeerd in de malware, maar daarnaast wordt er ook een nieuw
adres gegenereerd. Hiervoor gebruikt de SSHdkit een opmerkelijke
routine.
Het gaat om een speciaal algoritme om twee DNS namen te genereren.
Als die beiden naar hetzelfde IP-adres wijzen, wordt dat adres naar een
ander IP-adres geconverteerd waar de gestolen informatie naar toe wordt
gestuurd.
Begin maart werden 476
geïnfecteerde Linux-servers ontdekt. Daarvan bevinden de meeste, 132,
zich in de Verenigde Staten. Oekraïne is met 37 tweede, gevolgd door
Nederland met 29 servers (6,1%).
Bron: Security.nl
Geen opmerkingen:
Een reactie posten