NoTrace Security Forum

NoTrace Security Forum
Home | Registrati | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Virus News
 Wirenet, il primo trojan cross-platform linux/mac
 Nuova Discussione  Rispondi
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

aris73
Advanced Member


Città: Taormina


3779 Messaggi


Inserito il - 05/09/2012 : 02:15:41  Mostra Profilo  Rispondi Quotando
E' di questi giorni la notizia allarmante secondo la quale i ricercatori della software house Doctor Web famosa per aver creato l'omonimo antivirus, hanno evidenziato la presenza di un trojan cross-platform che attacca specificatamente sistemi linux e mac ad esclusione di windows.
Attualmente il trojan ruba le password registrate su software installati nel sistema come Firefox, Chrome, Chromium e Opera mentre Safari sembra immune. Allo stesso modo ruba le password registrate da Thunderbird, SeaMonkey , e Pidgin.
Oltre a rubare le password, questo trojan opera anche da keylogger, registra ovviamente l'attività della tastiera che insieme alle password vengono inviate ad un server remoto.


Attualmente è possibile fare dei controlli per verificare la presenza di questo *n nei nostri sistemi, ecco cosa fare:

Verificare la presenza della cartella "WIFIADAPT" nella nostra home, se non esiste vuol dire che non siamo stati infettati;
Attivare il firewall, se non attivato, e negare la comunicazione con l'ip "212.7.208.65";
Se non si ha un antivirus, scaricare la versione trial di Dr.Web Antivirus per Linux;
Se si ha un antivirus già installato, attendere l'aggiornamento delle definizioni antivirus;


Fonti che hanno dato la notizia:

Forbes
Net Security
The Hacker News

fonte: nanopress.it

PREVENIRE é MEGLIO CHE CURARE - "Molti uomini non sanno badare alle proprie cose, ma pretendono di occuparsi di quelle degli altri." [Esopo]
"due cose sono infinite: l'universo e la stupidità umana ma sull'universo nutro ancora dubbi" [A. Einstein]
Lista Programmi htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6729
Aris Muscolino htt*://[www].wix[.com]/a98124/aris-kyoshi

Modificato da - in Data

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi

Inserito il - 05/09/2012 : 04:58:20  Mostra Profilo  Rispondi Quotando
Booh..
La notizia appare qui:
htt*://[www].lffl.org/2012/09/wirenet-il-primo-virus-cross-platform.html
Giusto per sdrammatizzare, "se non avete antivirus su Linux, non lo installate!" (se lo avete, peggio per voi ), editate il file hosts, su Ubuntu/Debian (e probabilmente molte altre distribuzioni) si trova in /etc, quindi basta un:
sudo gedit /etc/hosts
(questo è l'editor Gnome, usate quello del Vostro DE)
e sotto tutto il resto inseriteci questa stringa:

127.0.0.1 212.7.208.65

Salvate e chiudete. Quell'IP è negato sino a quando non lo leverete di li.
Sicuramente non esiste, controllate comunque se è presente questa supposta cartella nella vostra home:
WIFIADAPT.
Non c'è, vero? Amen
Lo stesso procedimento (per il file hosts) è valido pure su Windows, per più info leggete qui
Antivirus su Linucs?? Massiamomatti?

Riscopri il PC, installa ed usa Linux - Al giorno d'oggi i cani di razza muovono la coda solo per interesse. Ma io sono un bastardo...

Lista operazioni preliminari per eliminare il malware da Windows (virus & co.) <-> Come postare il log di HiJackThis <-> Guida per XP

CDC PREMIUM 7043 DW - Centrino Duo T2300 - 3 Gb Ram - 320 Gb HD - Ubuntu 12.04 - Mate - Linux User #16486 Linux != Windows

Modificato da - Yves in data 05/09/2012 05:33:11
Torna all'inizio della Pagina

ori
Moderatore


Città: Verona


2043 Messaggi

Inserito il - 05/09/2012 : 07:59:20  Mostra Profilo  Rispondi Quotando
Aggiungere un indirizzo IP a /etc/hosts e` inutile, visto che non viene usato quando si accede a un server direttamente con l'ip.

Se si vuole bloccare veramente l'ip, l'unica cosa e` aggiungere, nello script che instanzia il firewall, la coppia di regole
/usr/sbin/iptables -I OUTPUT 1 -p tcp --destination 212.7.208.65 -j LOG --log-prefix "WIFIADAPT " --log-tcp-options --log-ip-options --log-uid
/usr/sbin/iptables -I OUTPUT 2 --destination 212.7.208.65 -j REJECT --reject-with icmp-host-unreachable
o opportuni adattamenti in base allo script.

OpenSuSE 12.2 on Acer Aspire 1810TZ

Come postare:
htt*://[www].notrace.it/Forum2/regolamento.asp
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Torna all'inizio della Pagina

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi

Inserito il - 05/09/2012 : 08:15:00  Mostra Profilo  Rispondi Quotando
Uffi, è vero, non ci avevo pensato a quell'insignificante "dettaglio"..
Crearsi uno script per uno pseudo pericolo ed avviarlo ad ogni avvio, non è esagerato?
Comunque ci sono le info necessarie (con vari esempi) sul forum Ubuntu
settare firewall

Riscopri il PC, installa ed usa Linux - Al giorno d'oggi i cani di razza muovono la coda solo per interesse. Ma io sono un bastardo...

Lista operazioni preliminari per eliminare il malware da Windows (virus & co.) <-> Come postare il log di HiJackThis <-> Guida per XP

CDC PREMIUM 7043 DW - Centrino Duo T2300 - 3 Gb Ram - 320 Gb HD - Ubuntu 12.04 - Mate - Linux User #16486 Linux != Windows
Torna all'inizio della Pagina

ori
Moderatore


Città: Verona


2043 Messaggi

Inserito il - 05/09/2012 : 09:09:13  Mostra Profilo  Rispondi Quotando
Citazione:
Messaggio inserito da Yves

Uffi, è vero, non ci avevo pensato a quell'insignificante "dettaglio"...

Capita

Citazione:
Crearsi uno script per uno pseudo pericolo ed avviarlo ad ogni avvio, non è esagerato?

Certo, ma se uno vuole proprio andare sul sicuro... che poi non e` sicuro lo stesso visto che l'ip potrebbe cambiare (e nei malware seri questo viene fatto) e non e` possibile mantenere a mano la lista.

Comunque mi sembra piu` una trovata pubblicitaria, visto che l'unica sorgente delle informazioni relative a questo presunto malware e` la stessa che propone un tool per rimuoverlo ma non ci sono informazioni su come e` fatto, come si propaga, come agisce, ...

OpenSuSE 12.2 on Acer Aspire 1810TZ

Come postare:
htt*://[www].notrace.it/Forum2/regolamento.asp
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255

Modificato da - ori in data 05/09/2012 09:10:06
Torna all'inizio della Pagina

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi

Inserito il - 05/09/2012 : 09:18:11  Mostra Profilo  Rispondi Quotando
Citazione:
Messaggio inserito da ori

Comunque mi sembra piu` una trovata pubblicitaria, visto che l'unica sorgente delle informazioni relative a questo presunto malware e` la stessa che propone un tool per rimuoverlo ma non ci sono informazioni su come e` fatto, come si propaga, come agisce, ...


Questo intendevo.
Ho fatto una rapida ricerca prima, e non son riuscito a tirar fuori un ragno dal buco. A parte la ripetizione di un "copia -> incolla", al quale non son nemmeno riuscito ad arrivare all'originale..
Al limite si può creare un file (o cartella) con quel nome, nella home, come utente root, ed impostarlo come non modificabile (ext3 lo permette, ma so che su alcuni filesystem è più problematico..).
Vabbè, c'est la vie

Riscopri il PC, installa ed usa Linux - Al giorno d'oggi i cani di razza muovono la coda solo per interesse. Ma io sono un bastardo...

Lista operazioni preliminari per eliminare il malware da Windows (virus & co.) <-> Come postare il log di HiJackThis <-> Guida per XP

CDC PREMIUM 7043 DW - Centrino Duo T2300 - 3 Gb Ram - 320 Gb HD - Ubuntu 12.04 - Mate - Linux User #16486 Linux != Windows
Torna all'inizio della Pagina

ori
Moderatore


Città: Verona


2043 Messaggi

Inserito il - 05/09/2012 : 09:42:13  Mostra Profilo  Rispondi Quotando
Citazione:
Messaggio inserito da Yves

Al limite si può creare un file (o cartella) con quel nome, nella home, come utente root, ed impostarlo come non modificabile (ext3 lo permette, ma so che su alcuni filesystem è più problematico..).
Vabbè, c'est la vie



Nei file system che lo supportano (e secondo la manpage, tutti quelli di linux, visto che non viene detto che non funziona su alcuni), si puo` usare "chattr +i" dopo un "chmod 000", cosi` neanche root puo` eliminarlo, prima di dare un "chattr -i"; crearlo come root non porta vantaggi, visto che essendo nella tua home, lo puoi eliminare lo stesso (non sono certo se questo vale in generale, ma su openSUSE accade).

OpenSuSE 12.2 on Acer Aspire 1810TZ

Come postare:
htt*://[www].notrace.it/Forum2/regolamento.asp
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255

Modificato da - ori in data 05/09/2012 09:42:51
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Nuova Discussione  Rispondi
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
© Nazzareno Schettino
RSS NEWS
Torna all'inizio della Pagina
Pagina generata in 0,44 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000