| Autore |
 Discussione  |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
 Inserito il - 05/09/2012 : 02:15:41
|
E' di questi giorni la notizia allarmante secondo la quale i ricercatori della software house Doctor Web famosa per aver creato l'omonimo antivirus, hanno evidenziato la presenza di un trojan cross-platform che attacca specificatamente sistemi linux e mac ad esclusione di windows.
Attualmente il trojan ruba le password registrate su software installati nel sistema come Firefox, Chrome, Chromium e Opera mentre Safari sembra immune. Allo stesso modo ruba le password registrate da Thunderbird, SeaMonkey , e Pidgin.
Oltre a rubare le password, questo trojan opera anche da keylogger, registra ovviamente l'attività della tastiera che insieme alle password vengono inviate ad un server remoto.
Attualmente è possibile fare dei controlli per verificare la presenza di questo *n nei nostri sistemi, ecco cosa fare:
Verificare la presenza della cartella "WIFIADAPT" nella nostra home, se non esiste vuol dire che non siamo stati infettati;
Attivare il firewall, se non attivato, e negare la comunicazione con l'ip "212.7.208.65";
Se non si ha un antivirus, scaricare la versione trial di Dr.Web Antivirus per Linux;
Se si ha un antivirus già installato, attendere l'aggiornamento delle definizioni antivirus;
Fonti che hanno dato la notizia:
Forbes
Net Security
The Hacker News
fonte: nanopress.it
|
Modificato da - in Data
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 05/09/2012 : 04:58:20
|
Booh..
La notizia appare qui:
htt*://[www].lffl.org/2012/09/wirenet-il-primo-virus-cross-platform.html
Giusto per sdrammatizzare, "se non avete antivirus su Linux, non lo installate!" (se lo avete, peggio per voi  ), editate il file hosts, su Ubuntu/Debian (e probabilmente molte altre distribuzioni) si trova in /etc, quindi basta un:
sudo gedit /etc/hosts
(questo è l'editor Gnome, usate quello del Vostro DE)
e sotto tutto il resto inseriteci questa stringa:
127.0.0.1 212.7.208.65
Salvate e chiudete. Quell'IP è negato sino a quando non lo leverete di li.
Sicuramente non esiste, controllate comunque se è presente questa supposta cartella nella vostra home:
WIFIADAPT.
Non c'è, vero? Amen
Lo stesso procedimento (per il file hosts) è valido pure su Windows, per più info leggete qui
Antivirus su Linucs?? Massiamomatti?  |
Modificato da - Yves in data 05/09/2012 05:33:11 |
 |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 05/09/2012 : 07:59:20
|
Aggiungere un indirizzo IP a /etc/hosts e` inutile, visto che non viene usato quando si accede a un server direttamente con l'ip.
Se si vuole bloccare veramente l'ip, l'unica cosa e` aggiungere, nello script che instanzia il firewall, la coppia di regole /usr/sbin/iptables -I OUTPUT 1 -p tcp --destination 212.7.208.65 -j LOG --log-prefix "WIFIADAPT " --log-tcp-options --log-ip-options --log-uid
/usr/sbin/iptables -I OUTPUT 2 --destination 212.7.208.65 -j REJECT --reject-with icmp-host-unreachable o opportuni adattamenti in base allo script. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 05/09/2012 : 08:15:00
|
Uffi, è vero, non ci avevo pensato a quell'insignificante "dettaglio"..
Crearsi uno script per uno pseudo pericolo ed avviarlo ad ogni avvio, non è esagerato?
Comunque ci sono le info necessarie (con vari esempi) sul forum Ubuntu
settare firewall |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 05/09/2012 : 09:09:13
|
Citazione:
Messaggio inserito da Yves
Uffi, è vero, non ci avevo pensato a quell'insignificante "dettaglio"...
Capita
Citazione:
Crearsi uno script per uno pseudo pericolo ed avviarlo ad ogni avvio, non è esagerato?
Certo, ma se uno vuole proprio andare sul sicuro... che poi non e` sicuro lo stesso visto che l'ip potrebbe cambiare (e nei malware seri questo viene fatto) e non e` possibile mantenere a mano la lista.
Comunque mi sembra piu` una trovata pubblicitaria, visto che l'unica sorgente delle informazioni relative a questo presunto malware e` la stessa che propone un tool per rimuoverlo ma non ci sono informazioni su come e` fatto, come si propaga, come agisce, ... |
Modificato da - ori in data 05/09/2012 09:10:06 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 05/09/2012 : 09:18:11
|
Citazione:
Messaggio inserito da ori
Comunque mi sembra piu` una trovata pubblicitaria, visto che l'unica sorgente delle informazioni relative a questo presunto malware e` la stessa che propone un tool per rimuoverlo ma non ci sono informazioni su come e` fatto, come si propaga, come agisce, ...
Questo intendevo.
Ho fatto una rapida ricerca prima, e non son riuscito a tirar fuori un ragno dal buco. A parte la ripetizione di un "copia -> incolla", al quale non son nemmeno riuscito ad arrivare all'originale..
Al limite si può creare un file (o cartella) con quel nome, nella home, come utente root, ed impostarlo come non modificabile (ext3 lo permette, ma so che su alcuni filesystem è più problematico..).
Vabbè, c'est la vie |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 05/09/2012 : 09:42:13
|
Citazione:
Messaggio inserito da Yves
Al limite si può creare un file (o cartella) con quel nome, nella home, come utente root, ed impostarlo come non modificabile (ext3 lo permette, ma so che su alcuni filesystem è più problematico..).
Vabbè, c'est la vie
Nei file system che lo supportano (e secondo la manpage, tutti quelli di linux, visto che non viene detto che non funziona su alcuni), si puo` usare "chattr +i" dopo un "chmod 000", cosi` neanche root puo` eliminarlo, prima di dare un "chattr -i"; crearlo come root non porta vantaggi, visto che essendo nella tua home, lo puoi eliminare lo stesso (non sono certo se questo vale in generale, ma su openSUSE accade). |
Modificato da - ori in data 05/09/2012 09:42:51 |
|
|
| |
Discussione |
|
|
|
Wirenet, il primo trojan cross-platform linux/mac
Forum Bloccato
