Malware é encontrado em site popular para Linux

Recentemente, publiquei um post falando a respeito de vírus para Linux. Ante-ontem, recebi a notícia de que foi encontrado um malware em um protetor de tela colocado para download num famoso site de downloads de temas personalizados para o Gnome, o Gnome-Look.org.

Embora o malware não seja um vírus, já que não contamina arquivos nem replica seu código, o fato dele executar algumas operações como usuário administrador mostra que, com um pouco de imaginação é possível burlar a segurança de qualquer sistema. O estrago nas máquinas dos usuários que baixaram o pacote foi zero, mas suas máquinas foram utilizadas para atacar um servidor de jogos na internet.

Segundo a Linux Magazine:

Quando instalou um inocente protetor de tela de “cachoeira” do Gnome-Look.org, um usuário do Ubuntu percebeu algo estranho: fora o fato de que o protetor de tela não fora baixado de um local da lista de repositórios aprovados do GNOME, ele também continha um script que executava algumas substituições peculiares.

Entre outras coisas, ele pegava um arquivo com o nome de auto.bash do servidor e o instalava no diretório /user/bin/, colocava um arquivo cahamdo de gnome.sh e o colocava no diretório /etc/profile.d/. O script executava, então, uma série de pings com pacotes muito grandes para um determinado servidor. O script presumivelmente estava ajudando em um ataque de negação de serviço (denial-of-service ou DoS) contra outros servidores que fornecem exploits para grandes jogos multiusuários, como o World of Warcraft.

O usuário postou sua descoberta no Ubuntu Forums e o protetor de tela desapareceu, então do site Gnome-Look.org. As especulações a respeito do que o script fazia exatamente e como removê-lo foram discutidas no forum. Aparentemente, o pacote no formato Debian (.deb), foi instalado com o nome de app5552. Determinou-se que, para remover o malware, junto com o script malicioso, seria necessário executar o seguinte comando no terminal:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Lições aprendidas:

1 – A melhor fonte de programas para seu Linux são os repositórios oficiais. Outros sites, mesmo populares, não podem ser considerados confiáveis.
2 – A atitude do usuário é responsável pela maior parte da segurança do sistema. Não adianta ter um ótimo sistema e atitudes inseguras. A corrente é tão forte como o mais frágil dos seus elos.
3 – Os administradores dos repositórios não oficiais devem ser mais criteriosos quanto à publicação de softwares em seus sites.
4 – A auditoria da comunidade provou ser eficaz, já que foi possível auditar o código fonte do pacote e encontrar sua verdadeira intenção.

Fonte: http://www.linux-magazine.com/Online/News/Malicious-Screensaver-Malware-on-Gnome-Look.org