Un raro caso di virus per Linux, uno screensaver scaricato da Gnome-Look.org conteneva al suo interno uno script malevolo che provvedeva a sostituire a loro volta alcuni script eseguiti all’avvio del computer.
Gli script venivano scaricati direttamente da Internet, pratica comune ai malware, e servivano per aggiungere la macchina infetta ad una botnet destinata a scatenare un attacco di tipo DDOS. Ad insospettirsi per primo è stato un utente di Ubuntu Forums (al momento disponibile solo in cache) che ha immediatamente chiesto conferme dei suoi sospetti agli altri utenti del forum.
Lo screensaver era disponibile tramite un pacchetto DEB, utilizzabile da tutte le distribuzioni derivate da Debian. Non c’è da stupirsi di questa scelta. Gli autori del malware hanno infatti pensato di scegliere Ubuntu (che deriva appunto da Debian) come punto d’appoggio per la loro “leva”, per avere la più larga base di utenza nel mondo Linux.
Chi abbia recentemente installato lo screensaver di una cascata scaricato da Gnome-Look.org, allora deve utilizzare i seguenti comandi per pulire il proprio computer:
sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash
quindi
sudo dpkg -r app5552
Mentre la prima riga cancella gli script scaricati da Internet, la seconda disinstalla il pacchetto incriminato.
Il malware mette in evidenza un dato importante: Linux (in questo caso Ubuntu) ha conquistato una fetta di mercato che, anche se piccola, non è più trascurabile e i creatori di malware iniziano a considerare il pinguino come un potenziale bersaglio, al pari di Windows.
“L’autore”….a quantopare è sempre la stessa persona,che oltre allo screensaver ha pubblicato un altro malware,un tema chiamato “ninja”.Si trattava guardacaso di un utente windows e pare anche non sia stato furbissimo,perchè il codice dello script poteva fare molti più danni ma era scritto talmente male da non combinare troppi disastri.Comunque utente tracciato e bannato IP da gnome-look.
di Vortex - 10 dicembre 2009 - 11:28
Direi che se la macchina viene infettata da un trojan installato volontariamente dall’utente… non ci sono grossi problemi. Questo può succedere su Windows, Linux, MAC OS X… è compito dell’utente verificare l’attendibilità della fonte da cui preleva il software.
di druido77 - 10 dicembre 2009 - 11:30
@druido77
Installato volontariamente da un utente cui son stati dati i privilegi di amministratore (root nel mondo *nix).
Inoltre gnome-look è un sito che dovrebbe essere attendibile, visto che è il sito di riferimento per tutto ciò che riguarda i temi per il noto DE.
Comunque, come ha detto Vortex “utente tracciato e bannato IP”.
di JaKaiser - 10 dicembre 2009 - 12:54
Si ma “bannato IP”… quanto ci metterà a procurarsene un altro, mezzo minuto?
E poi, se è un IP di qualche provider, magari blocchi qualche altro utente che non c’entra niente e arriva con lo stesso IP.
Lui sarà qual che sarà, ma anche quelli di Gnome-Look.org non mi sembrano dei geni.
di Fabio - 10 dicembre 2009 - 13:36
E’ logico che ogni sistema può essere infettato se istalli tu manualmente con privilegi di root ogni cosa.
Quello che fa windows (e qui è la critica) è che i molti casi l’utente non fa nulla, e il sistema si auto-infetta da solo.
PS: notare che in 2 comandi il sistema torna come nuovo….
di Andreabont - 10 dicembre 2009 - 19:34
straquoto Andreabont
di maza - 10 dicembre 2009 - 21:16
Uah Uah… sudo… è da abolire.
(inibisce anche la potenza dell’autocompletamento del tasto [Tab])
Ma chè lo si continua ad usare ?
E abilitiamo anche SELinux.
Ciao.
di cairo88 - 11 dicembre 2009 - 16:08
Il guaio è installare con i privilegi di root.
)
PUNTO!
Dunque come Virus non vale una cicca! Anzi non è neanche un virus. Al massimo un “Virus albanese” del tipo “Non abbiamo soldi per fare un vero virus, per piacere cancellatevi l’Hard-disk”
Ciao
di ziomaul - 17 dicembre 2009 - 07:07
Volevo far notare che non e’ un virus, perche’ per essere virus deve avere la capacita’ di riprodursi. Questo invece era un trojan al limite, e fatto pure male, che faceva affidamento sull’ingenuità dell’utente per essere installato.
di Idl3 - 17 dicembre 2009 - 18:42