Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Nuova versione del malware mette a rischio server Linux

10 giugno 2013

La società “Doctor Web” — sviluppatore russo dei programmi per la sicurezza informatica — ha scoperto una nuova versione del trojan Linux.Sshdkit studiato per infettare server gestiti dal SO Linux. I dati raccolti dagli esperti di Doctor Web mostrano che il trojan ha compromesso più centinaia di server Linux, tra cui si segnalano le macchine di maggiori hosting provider.

Doctor Web ha informato sulle prime versioni di Linux.Sshdkit a febbraio 2013. Questo malware è una libreria dinamica che può funzionare nelle versioni di Linux a 32 bit e a 64 bit. Una volta installato nel sistema operativo, il cavallo di troia si incorpora nel processo “sshd” intercettando le funzioni di autenticazione. Dopo che la sessione è stata stabilita e l’utente ha inserito il login e la password, il cavallo di troia invia le credenziali su un server remoto in possesso dei malintenzionati.

Gli esperti di Doctor Web hanno intercettato alcuni server di controllo della versione precedente di Linux.Sshdkit. Oltre alla raccolta di dati statistici, abbiamo potuto determinare gli indirizzi delle macchine infette. In totale a maggio 2013, il trojan ha mandato sul server controllato da Doctor Web le credenziali di accesso a 562 server Linux, alcuni dei quali appartengono a maggiori hosting provider.

La nuova versione scoperta dagli esperti di Doctor Web è stata nominata Linux.Sshdkit.6. Anche questo malware è una libreria dinamica, e attualmente è stata trovata una sua variante per i sistemi operativi Linux a 64 bit. Rispetto a quella precedente, la nuova versione di Linux.Sshdkit è stata modificata dagli hacker per impedire agli specialisti di sicurezza informatica di intercettare le credenziali rubate. Per esempio, gli autori hanno cambiato il metodo con cui il trojan determina gli indirizzi dei server su cui deve mandare le informazioni rubate. Adesso per computare l’indirizzo del server destinatario, il programma malevolo utilizza un record di testo speciale che contiene dati cifrati tramite una chiave RSA di 128 byte. La figura sottostante dimostra l’algoritmo di generazione dell’indirizzo del server destinatario.

Inoltre, gli autori del trojan hanno modificato il suo algoritmo di ricezione comandi: adesso al programma malevolo si trasferisce una stringa speciale per la quale si controlla il valore di hash.

I cavalli di troia della famiglia Linux.Sshdkit rappresentano un serio rischio per i server Linux perché danno possibilità ai malintenzionati di ottenere dati per effettuare un accesso non autorizzato al server. Gli esperti di Doctor Web consigliano agli amministratori dei server Linux di controllare la presenza di questa minaccia nel sistema operativo.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A