A Phalax trójai legfontosabb jellemezője, hogy a Linux operációs rendszerekkel kompatibilis. Több olyan műveletet is végrehajt, amelyek sok windowsos kártékony program esetében is előfordulnak. A működéséhez szükséges állományok létrehozása után egy rootkit komponenst telepít, amely különféle rendszerhívások manipulálásával elrejti a trójait. Ezt követően kapcsolódik egy távoli szerverhez, és egy hátsó kapun keresztül várakozik a támadók parancsaira. Ők akár teljes mértékben is átvehetik a fertőzött rendszerek feletti irányítást.
Amikor a Phalax trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
/usr/share/.home.ph1/
/usr/share/.home.ph1/tty/
/usr/share/.home.ph1/cb
/etc/host.ph1/hostname
/usr/share/.home.ph1/.phalanx
/usr/share/.home.ph1/.sniff
2. Egy rootkit komponenst telepít, amely különböző rendszerhívások manipulálásával segít elrejteni a trójaihoz tartozó állományokat és folyamatokat.
3. Csatlakozik egy előre meghatározott távoli szerverhez.
4. Lehetőséget biztosít a támadók számára, hogy tetszőleges műveleteket hajtsanak végre a fertőzött rendszereken.
8 hozzászólás
Ez a cikk semmitmondó. Milyen apropó kapcsán jött ez elő? Most jelent meg? Kik kaphatják meg? Hogyan lehet ellene védekezni? A cikk írója vélhetően soha nem találkozott még linuxos vírussal (amelyek egyébként már sok éve léteznek, és ha minimális számban is, de előfordulhatnak feltört gépeken). Alapvető tájékozatlanságra utal a cikk egésze.
Ha pedig az ember nem root-ként futtatja a különböző programokat, esély sincs ezeknek a könyvtáraknak és fájloknak a létrehozására (ott ahol a cikk írja). cd /usr/share/ && mkdir .home mkdir: nem lehet a következő könyvtárat létrehozni: ".home": Hozzáférés megtagadva
Valami ilyesmi futott át az én fejemen is: - Hogyan _lehet_ telepíteni/futtatni ezt a vírust? - Hogyan kerül a gépre? SZVSZ az, hogy ez a vírus fusson az adott gépen: - tudatosan "telepíteni" kell a felhasználónak, - vagy valamilyen programhibát (szolgáltatást) fel kell törni, root jogokat szerezni (ami azért annyira nem triviális) és úgy futtatni és szurkolni, hogy: - chrootkit/rkhunter stb. megoldások ne találjanak rá, - esetleg 'netstat -tap' kimenetét ne találja senki gyanúsnak), - a tűzfal ne blokkolja és loggolja a portnyitogatást, - stb. Hát, ijesztgetésnek elmegy a cikk, de inkább csak dezinformál. Alighanem kénytelenek minden nap legalább egy új cikket kiadni, teljesen mindegy, miről szól, csak meglegyen az 500 leütés. Ebből a szempontból a hup nívósabb hírekkel jelenik meg.
Kristof Csaba te mi a repat keresel a computerworld-nel? Ha elolvasol egy cikket es postolni akarod, legalabb nezz utanna mi a faszt is jelentenek a szavak benne.
howefight: Hogy mit keres ott? Hát pénzt! Azért kicsit diplomatikusabban is lehetett volna fogalmazni, bár már ez a hajó elment :) P.
Mit vártok tőle? Már korábban a PWN 2 OWN kapcsán is elhalgatta, hogy a Linux nyert, és arra hegyezte ki a cikket, hogy az OSX vesztett... ( http://computerworld.hu/hackerverseny-meglepo-eredmeny.html )
miert kell reklamalnotok
Miért, igaza van, nem? A cucc alkalmas arra, hogy megfertőzd vele (szándékosan) a Linuxodat. Lefuttatod a telepítőjét rendszergazdaként, és máris van egy vírusos Linuxod. Aki meg "véletlenül" futtat ismeretlen dolgokat rootként, az meg is érdemli...