SIKKERHET

Nytt Linux-«virus» graver etter kryptovaluta, stjeler rotpassord og setter antivirus ut av spill

Illustrasjonsfoto.
Illustrasjonsfoto. Foto: Ian Allen/wikimedia
26. nov. 2018 - 10:49

Det er ikke så fryktelig ofte vi hører om skadevare på Linux-plattformen, men nå har vi fått et nytt tilfelle. Blant andre nettstedet ZDNet melder nå om et ny type skadevare til Linux med et helt lass av skumle funksjoner.

Skadevaren, som altså er ganske sofistikert, ble oppdaget av det russiske antivirus-selskapet Dr. Web og har fått navnet Linux.BtcMine.174.

Graver etter kryptovaluta

Det nye programmet er en trojaner som først skaffer seg fotfeste på PC-en ved å finne mapper hvor det har skrivetillatelse, slik at det kan kopiere seg selv og laste ned flere moduler.

Deretter utnytter programmet et par såkalte «privilege escalation»-hull, som i sin tur gir rotprivilegium og full tilgang til operativsystemet.

Programmet legger seg også til autokjørlisten og installerer et rootkit-program som ifølge sikkerhetsforskerne kan brukes til å stjele passord som trengs til å utføre såkalte su-kommandoer, altså kommandoer som utføres med superbrukerrettigheter.

Trojanerens primære funksjon er graving etter kryptovaluta, et kjent fenomen i disse dager. Valutaen det graves etter er Monero, som også en del andre kryptominere den siste tiden retter seg mot.

Setter rivalprogrammer og antivirus ut av spill

I tillegg til å grave etter Monero har det nye programmet også den egenskapen at det skanner systemet og setter rivaliserende kryptominere ut av spill, men ikke nok med det.

Den nye Linux-skadevaren er også i stand til å hindre funksjonaliteten til Linux-baserte antivirusprogrammer, basert på prosessnavn som assosieres med slike programmer. Dermed kan det altså operere uforstyrret.

På toppen av det hele er programvaren også i stand til å laste ned et annet program, en trojaner som tilhører en kjent skadevarefamilie som blant annet brukes til å utføre DDoS-angrep.

Programmet sprer seg på egen hånd gjennom en funksjon som samler informasjon om alle serverne som den infiserte verten er koblet til via SSH-protokollen (Secure Shell). Det er i skrivende stund uvisst akkurat hva som kan gjøres for å sikre seg mot spredningen.

Mer teknisk informasjon kan du finne hos Dr. Web.

Les også: Sikkerhet eller fart? Den nyeste Linux-kjernen kan føre til dramatisk ytelsessvikt »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.