www.MegaLab.it

da **gianpietro** » mer nov 21, 2012 11:07 am

Per maggiori informazioni vedi qui:

http://www.mrwebmaster.it/news/malware- ... _8736.html

da **farbix89** » mer nov 21, 2012 11:13 am

Debian versione Squeezy 6 e Kernel 2.6.32-5-amd64

è un kernel vecchio di almeno 2 anni,ormai stiamo nel ramo Linux 3.x [std]

Solo i vecchi sistemi non aggiornati o da ritenersi ultra-stabili (che aggiornano ogni 3-5 anni) rischiano qualcosa [:)]

Parte la caccia a questo nuovo malware,devo assolutamente metterci le mani sopra per indagare [:)]

da **hashcat** » mer nov 21, 2012 1:06 pm

Ho effettuato una veloce ricerca e (per il momento) non l'ho trovato.

Report VirusTotal

Nome della minaccia: lib modules 2.6.32-5-amd64 kernel
sound module_init.lo
Tipologia del file: ELF Executable and Linkable format
Dimensione: 673.6 KB (689742 bytes)
CRC-32: f5ffa48e
MD5: 52852ac955ba03e4ebb012c55550dca3
SHA1: e307ec9813dc5e813d6328305c197bab3855a660
SHA256: 854dac8b4616c1b4174dc01796174a2bd7002f6d99e39efad92ca74efe4cf2e1

Analisi dettagliata della minaccia:

http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html

da **nix87** » mer nov 21, 2012 1:36 pm

Da una rapida lettura pare che questo malware necessiti che l'amministratore di sistema gli garantisca privilegi di root per essere eseguito.

Credo che quindi alla fine il problema di sicurezza starebbe nell'utente e non tanto nel malware, che non riuscirebbe ad installarsi da solo all'insaputa dell'utente stesso...

da **farbix89** » mer nov 21, 2012 1:41 pm

nix87 ha scritto:Da una rapida lettura pare che questo malware necessiti che l'amministratore di sistema gli garantisca privilegi di root per essere eseguito.

A questo aggiungi che il 90% degli utenti che usano Debian+Kernel 2.6.x sono troppo skillati per cadere in una richiesta di sudo durante la navigazione [std]

da **hashcat** » ven nov 23, 2012 3:45 pm

Pubblicamente in rete non l'ho trovato, nemmeno su openmalware.
Era presente un link su MalwareTips ma no è più valido, se qualcuno ha intenzione di iscriversi a quel forum (per chiedere un link aggiornato), ben venga.

LINK DISCUSSIONE

[;)]

da **sampei.nihira** » mer nov 28, 2012 6:52 am

Non avevo visto questo 3D.
La mia attenzione al Pinguino è "relativamente" scarsa.
Ed inoltre purtroppo la mia provincia continua ad essere flagellata da piogge a dir poco eccezionali. [cry]

https://www.virustotal.com/file/854dac8 ... 354081549/

Il link sotto vi farà downloadare il malware:

http://seclists.org/fulldisclosure/2012 ... nit_lo.bin

Tenetemi aggiornato se effettuerete una sua analisi in un OS linux.

da **hashcat** » gio nov 29, 2012 4:13 pm

Ho appena creato un'apposita scheda nel MVL.

LINK

[;)]

da **sampei.nihira** » gio nov 29, 2012 5:13 pm

www.MegaLab.it

Un malware russo insidia il Pinguino

Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

R: Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

Re: Un malware russo insidia il Pinguino

Chi c’è in linea