Torna alla lista delle notizie
22 febbraio 2013
Linux.Sshdkit è una libreria dinamica le cui versioni possono funzionare nelle distribuzioni Linux a 32 bit e a 64 bit. I metodi di propagazione del trojan ancora non sono stati chiariti completamente, però possiamo ipotizzare che si installi sui server Linux attraverso le vulnerabilità critiche. L’ultima versione conosciuta di questo malware è quella con il numero 1.2.1. Una delle prime versioni, numerata 1.0.3, si diffonde da un tempo abbastanza lungo.
Una volta installato nel sistema, il cavallo di troia si incorpora nel processo sshd intercettando le funzioni di autenticazione di questo processo. Dopo che una sessione è stata iniziata e l’utente ha inserito il login e la password, questi dati si inviano a un server remoto in possesso dei malintenzionati utilizzando il protocollo UDP. L’indirizzo IP del server di comando si genera daccapo ogni due giorni. Per generare indirizzi, Linux.Sshdkit usa un algoritmo molto speciale.
Il trojan genera due nomi DNS secondo un algoritmo e se entrambi questi nomi si riferiscono allo stesso indirizzo IP, questo si converte in un altro indirizzo IP al quale il trojan trasmette le informazioni rubate. La figura sottostante spiega l’algoritmo di generazione indirizzi applicato dal trojan:
Tramite il metodo ben conosciuto “sinkhole”, il team di Doctor Web ha intercettato uno dei server di controllo di Linux.Sshdkit. Le osservazioni hanno confermato che il trojan trasmette a server remoti le credenziali di accesso rubate dai server Linux attaccati.
La firma antivirale di questa minaccia è stata aggiunta ai database di Dr.Web. Gli esperti di Doctor Web consigliano agli amministratori dei server Linux di eseguire un controllo del sistema operativo. Uno dei segni di infezione potrebbe essere la presenza della libreria /lib/libkeyutils* la cui dimensione varia dai 20 ai 35 Kb.
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti