Pesquisadores descobriram um novo malware desenvolvido especialmente para Linux que compromete o funcionamento de servidores web, injetando código malicioso em todas as páginas. A praga tenta se esconder do administrador do servidor e, como o rootkit foi feito para não aparecer na lista de processos do sistema, sua detecção é um pouquinho mais difícil.

O rootkit foi inicialmente publicado no dia 13 de novembro por um participante da lista de emails Full Disclosure. Segundo ele, alguns clientes reclamaram que estavam sendo redirecionados para sites maliciosos. Após passar algum tempo procurando pelo malware, ele descobriu dois processos ocultos em sua máquina, que roda Debian Squeeze e servidor web nginx 1.2.3.

A empresa de segurança CrowdStrike analisou o malware e afirmou que, aparentemente, a praga é nova e não apenas uma modificação de um rootkit já existente. Segundo a empresa, o desenvolvedor do malware tem pouca experiência no assunto — a análise revela que a qualidade do código não é das melhores e a técnica de se esconder da lista de processos não funciona muito bem.

O malware divulgado na lista Full Disclosure é um módulo compilado para o kernel Linux 2.6.32-5, a versão mais recente do Debian Squeeze. Uma especialista em segurança da Kaspersky explica que ele substitui a função tcp_sendmsg, que constrói pacotes TCP. Usando uma função alterada, é possível injetar código malicioso diretamente no tráfego de saída do servidor.

Cena rara: antivírus para Windows detectando malware para Linux. Geralmente é o contrário.

Um artigo completo sobre o rootkit está no blog da CrowdStrike. Ainda não se sabe como o servidor foi infectado. A Kaspersky adicionou a detecção do malware em seu antivírus e outras empresas de segurança também — o Windows Defender já detecta a ameaça como Trojan:Linux/Snakso.A.

Com informações: CRN, CrowdStrike, G1.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Guilherme Macedo C.
1º - Vc não entendeu o que eu disse, provavelmente não quer entender e não dá a mínima pro interesse coletivo, pois quer, mesmo em prejuízo próprio, que uma solução proprietário de uma empresa privada domine os equipamentos abertos (padrão PC); 2º - Vc não leu o texto do problema. Não tem nada a ver com isso.
fac_713198649
1° - Isso não depende da sua "aprovação". Ninguém fez, a Microsoft foi, fez, e a indústria aprovou. 2° - A proposta do Secure Boot é justamente a de proteger o sistema de rootkits que modificam o Kernel e se instalam na inicialização do sistema e são difíceis de serem detectados.
Tiago Gabriel
*nos proteger
Diego Bruno
Usuario de Linux sao iguais aos da Apple, se fala mau o pau trinca e ainda perde ate a amizade kkkkkk
Guilherme Macedo C.
1º - Nada justifica deixar uma empresa privada sob o monopólio da segurança de PCs. 2º - O malware, que ataca servidores, trabalha de outra forma, que nada tem a ver com a proposta de segurança que supostamente oferece o MS Secure Boot.
YanGM
Oh God, são encontrados milhares de vírus para windows todas as semanas, quando aparece um para linux vira até notícia ai vem os Microboys falar das "soluções da Microsoft".
fac_713198649
Argumentos?
Guilherme Macedo C.
Viajou na maionese
fac_713198649
Isso justifica e muito o "Secure Boot" da Microsoft. Ainda bem que o Red Hat e Ubuntu já são compatíveis, garantindo uma segurança bem mais elevada para o Linux também.
Giovanni Diniz
Sinto informar que é apenas um em cima de uma das distribuições. Mesmo assim, em um kernel já mais antigo.
Raul Liota da Rosa
É tão raro aparecer pragas viruais para Linux que virá uma grande notícia, imagina se todas as pragas para Windows virassem notícias, teríamos centenas de notícias por dia.
Tiago Ronieri Pertile
Não foi descoberto como o rootkit foi instalado, pode ser uma falha no sistema ou estar desatualizado, ou apenas a senha do root foi comprometida e o atacante obteve acesso via ssh.
YanGM
A 3.0.52 é bem estável e recente, tanto que muitos dispositivos android rodam ela (com alguns backports das mais recentes). Já que a 2.6.32 é tão sólida em termos de estabilidade, por que não fazer backport de segurança?
YanGM
Debian Squeeze, também tem o Wheezy.
Guilherme Macedo C.
Os kerneis usados em sistema de servidores não são velhos, são estáveis. São inclusive mais seguros que os novos, pois foram mais testados. O Red Hat EL, por exemplo, usa o kernel 2.6.32-279.
Exibir mais comentários