Linux pega Virus?
1. Linux pega Virus?
Thiago4AC
(usa Linux Mint)
Enviado em 03/07/2018 - 08:59h
9° - 28/3/2001
Nome: Winux ou W32.Winux
Categoria: virus-multiplataforma
info: Keith Peer - executivo-chefe da McAfee
Escrito em uma linguagem chamada Assembly o vírus não se espalhar rapidamente
O virus Winux é ativado com a execução de programas infectados, projetados tanto para os sistemas Windows como para versões de Linux. Depois de ativado, o vírus procura aplicações de pelo menos 100 kbs e as infecta.
Ele procura arquivos compilados e altera a seção .reloc, o que danifica o arquivo permanentemente, segundo a McAfee.
A empresa recebeu o vírus anexado a um e-mail anônimo da República Checa. O criador da praga virtual, seria um hacker de nome Benny, que se diz afiliado ao grupo 29A (Grupo Hacker conhecidos por outras atividades Cyber-criminosas).
"Não é surpreendente que estejamos vendo um vírus multiplataforma, dada a crescente popularidade do Linux em desktops nas empresas." diz Keith Peer
8° - 7/8/2013
Nome: “Hand of Thief”
Categoria: Trojan
info: blog.avast.com e ZDNet.com
Uma nova ameaça para a plataforma Linux foi mencionada pela primeira vez em 7 de agosto pelos pesquisadores da RSA, onde foi apelidada de Hand of Thief. Os dois principais recursos desse cavalo de Tróia são a captura de forma de navegadores específicos do Linux e a entrada do computador da vítima por uma porta dos fundos.
Como um Trojan bancário, ele pega seus dados pessoais de login e senha
Essas informações consistem em suas credenciais roubadas, no registro quando você visitou um site, nos sites visitados e, possivelmente, nos cookies do navegador da Web.Isso para usar suas contas de cartão de crédito.
O objetivo deste Trojan é comprometer os sistemas de desktop do usuário. Com recursos projetados para roubar informações confidenciais do navegador, ele pode fazer com que os usuários do Linux avancem neste ambiente sem perceber.
A equipe de divisão da RSA informou que o Trojan bancário que tem como alvo o sistema Linux, foi criado por cibercriminosos da Rússia.
A afirmação de que a plataforma Linux é absolutamente segura agora parece ainda mais ilusória.
7° - 10/07/2014
Nome: Botnet do BillGates Linux official VersatileTrojan4Linux
Categoria: Botnet
info: securelist.com
Em 26 de fevereiro de 2014, um artigo publicado em um site de TI russo
https://habr.com/post/213973/
trazia o titulo - Estudando a Botnet do BillGates Linux . Descreve um cavalo de Tróia com funcionalidade DDoS. A capacidade mais interessante foi do Trojan realizar ataques do tipo Amplificação de DNS. Além disso,o Trojan tinha uma estrutura modular sofisticada, algo que não havíamos visto no mundo do malware Linux antes.
O Trojan continha um arquivo de configuração para o Cron - o agendador de tarefas do Linux. Neste caso, o utilitário é usado pelo cavalo de Tróia como um meio de obter uma posição segura no sistema. O Trojan usa o cron para executar as seguintes tarefas:
* Uma vez por minuto - termine os processos de todos os aplicativos que podem interferir em sua operação: o poderoso Iptables
* Aproximadamente uma vez em noventa minutos - finalize todos os seus processos.
*Aproximadamente uma vez em duas horas - faça o download de todos os seus componentes para a pasta / etc em http://www.dgnfd564sdf.com:8080/Nome-Modulo do Trojan
A cada minuto - purgar logs do sistema e executar chmod 777 [Modulo_name]
O arquivo chamado atddd contido é um backdoor projetado para conduzir vários tipos de ataques DDoS contra os servidores especificados.
O Trojan em modo de ataque Normal executa os seguintes:
inundação TCP-SYN
inundação de DNS
inundação HTTP
amplificação de DNS
O último tipo de ataque, os pacotes são enviados para servidores DNS vulneráveis.
O comando de executação aceita um número de 1 a 3 como um parâmetro. Cada um dos números está associado a uma das seguintes strings:
Strings -"Alib” “Bill” “Gate"
*Sua maior virtude, também é seu maior defeito"
Pode-se bloquear STRINGS com iptables!
arquivos:
atddd;
cupsdd;
cupsddh;
ksapdd;
kysapdd;
skysapdd;
xfsdxd.
Semelhança: 1-Backdoor.Linux.Ganiw.a
2-Backdoor.Linux.Mayday.f
6° - 10/11/2015
Nome: Linux.Encoder.1
Categoria: Ransomware
info: Dr. Web
Ransomware de criptografia para Linux escrito em C usando a biblioteca PolarSSL.
Uma vez iniciado com privilégios de administrador, o Trojan carrega na memória seus arquivos de processos contendo as demandas dos cibercriminosos:
./readme.crypto—file com demandas,
./index.crypto - arquivo HTML com demandas.
Como argumento, o cavalo de Tróia recebe o caminho para o arquivo que contém uma chave RSA pública.
Depois que os arquivos são lidos, o programa malicioso é iniciado como um daemon e exclui seus arquivos originais.
5° - 2012 - 2014
Nome: Hydra(2012) Aidra(2013) LightAidra(2014)
Categoria: Botnet
info: Pesquisador de segurança TimelessP
Outra forma de um poderoso botnet IRC que infecta as caixas Linux.
Um bot de roteador a roteador detectado pela primeira vez há dois anos evoluiu - e agora tem a capacidade de reconfigurar os firewall de suas vítimas.
O bot, desenvolvido pela primeira vez em 2012, tem como alvo os modems de cabo e DSL do consumidor que tenham nomes de usuário e senhas padrão ( admin admin), a fim de se espalhar. O Lightaidra requer que o Linux esteja rodando no dispositivo para infectar equipamento.
O principal uso do malware está na execução de ataques DDoS.
"Eu vi os ataques evoluírem com o tempo ... [Este] foi o primeiro que vi a reconfigurar o firewall no download", disse TimelessP .."O software antivírus teria sido de pouca utilidade aqui".
4° - 01/03/2016
Nome: Linux Remaiten
Categoria: Botnet
info: ESET Virusradar.com
O Linux / Remaiten serve como um backdoor. Pode ser controlado remotamente. É capaz de se espalhar de acordo com as instruções baixadas da Internet.
O trojan gera vários endereços IP.
Tenta forçar o uso de credenciais de login.
Geralmente contém no corpo do malware principal outros arquivos de malware.
O arquivo é salvo em uma das seguintes pastas:
/dev/netslink/
/var/tmp/
/tmp/
O trojan adquire dados e comandos de um computador remoto ou da Internet.
Ele pode executar os seguintes comandos:
1-baixar arquivos de um computador remoto e / ou da Internet
2-executar comandos shell
3-realizar ataques DoS / DDoS.
3° - 22/02/2016
Nome: HEUR Backdoor.Linux.Tsunami.bh
Categoria: Malware ataque via IRC
info: blog.linuxmint.com
Os criminosos usaram um backdoor simples, controlado por meio de uma conexão IRC não criptografada. Depois de ter acesso ao sistema, o malware comprometi a imagem ISO e é compilado na inicialização para “apt-cache” e então executado.
O malware é capaz de:
executar vários tipos de inundação UDP e TCP (usados ​​em ataques DDoS)
baixa arquivos para a máquina da vítima executando comandos arbitrários na máquina.
2° - 08/2016
Nome: Mirai ("Futuro" em japonês) Linux.Mirai
Categoria: Botnet
info: MalwareMustDie.org
O Mirai é um malware escrito em C, que transforma dispositivos em rede que executam o Linux em "bots" controlados remotamente que podem ser usados ​​como parte de uma botnet em ataques de rede em grande escala. Ele é voltado principalmente para dispositivos de consumo on-line, como câmeras IP e roteadores domésticos.
O botnet Mirai foi encontrado pela primeira vez em agosto de 2016 por MalwareMustDie, um grupo de pesquisa de malware whitehat presente no Japão.
Os maiores ataques do Mirai foram:
* 20 de setembro de 2016 sobre o site do jornalista de segurança Brian Krebs.
* Um ataque ao host francês OVH.
*** Em 21 de outubro de 2016, vários ataques DDoS nos serviços DNS do provedor de serviços Dyn usando o malware Mirai instalado em dispositivos, deixou muitos sites de alto perfil como o GitHub, Twitter, Reddit, Netflix fora do Ar. A atribuição do ataque botnet Mirai foi originalmente relatada pela Level 3.
***Maior Ataque a roteadores da história!
No final de novembro de 2016, aproximadamente 900.000 roteadores, da Deutsche Telekom e da Arcadyan, foram paralisados ​​devido a falhas nas tentativas de exploração por uma variante do Mirai, que resultou em problemas de conectividade da Internet para os usuários desses dispositivos.
O Mirai não foi interrompida após a prisão dos criadores, uma vez que outros estão utilizando o código-fonte do malware abertamente no próprio GitHub e em fóruns de hackers.
O código fonte esta disponivel para fins de pesquisa em:
https://github.com/jgamblin/Mirai-Source-Code
1° - 20/01/2018
Nome: CrossRAT
Categoria: Spyware
info: Lookout Security - empresa de segurança digital
O Spyware foi identificado em 2018 como ferramenta de espionagem criada pelo grupo Libanês Dark Caracal que ja atuava desde 2012.
Construido em Java foi batizado de "CrossRAT", tem como caracteristica principal ser multiplataforma, ou seja, pode afetar computadores com Windows, MacOS,LInux e até mesmo o destinto Opensolaris da Oracle.
Quando presente em um pc o hacker envia comandos remotos para a máquina da vitima que contém o CrossRate obtendo informações sigilosas.O Malware se espalha pela internet por meio de URL maliciosas já encontradas em grupos do Facebook e WhatSapp.
O virus faz uma varredura para indentificar o Kernel com o objetivo de fazer a instalação de acordo com cada software.
O arquivo hmar6.jar é o executavel que instala o CrossRate. No Linux quando infectado haverá um arquivo Java chamado mediamgrs.jar em /usr/var e outro chamado mediamgrs.desktop.
Segundo fontes de Segurança em 2018 a Dark Caracal teve
como foco da campanha os celulares com Android usando spear-phishing.(phising para celular)
***Como Evitar***
O objetivo de todos os criadores de vírus e cibercriminosos é disseminar seu vírus, worm ou cavalo de Tróia através de tantos computadores ou telefones móveis quanto possível. Isso pode ser conseguido de duas maneiras: por engenharia social, infectando um sistema sem o conhecimento do usuário(Exemplo: baixe este programa indispensavel para seu OS).
Esses métodos são frequentemente usados ​​simultaneamente e geralmente incluem processos para contornar os programas antivírus, tanto quanto possível. Engenharia social Técnicas de engenharia social levam um usuário incauto a lançar um arquivo infectado ou a abrir um arquivo
O malware só pode entrar em uma máquina por negligência e negligência do usuário.
Isso é uma fatalidade! E tais atitudes levam a que máquinas desprotegidas se tornem incontroláveis ​​e se transformem em locais seguros para malware.