O Futuro é a Liberdade

Discussões sobre Software Livre e Sociedade

Malware é encontrado em site popular para Linux

Posted by Paulo em 12/12/2009

Recentemente, publiquei um post falando a respeito de vírus para Linux. Ante-ontem, recebi a notícia de que foi encontrado um malware em um protetor de tela colocado para download num famoso site de downloads de temas personalizados para o Gnome, o Gnome-Look.org.

Embora o malware não seja um vírus, já que não contamina arquivos nem replica seu código, o fato dele executar algumas operações como usuário administrador mostra que, com um pouco de imaginação é possível burlar a segurança de qualquer sistema. O estrago nas máquinas dos usuários que baixaram o pacote foi zero, mas suas máquinas foram utilizadas para atacar um servidor de jogos na internet.

Segundo a Linux Magazine:

Quando instalou um inocente protetor de tela de “cachoeira” do Gnome-Look.org, um usuário do Ubuntu percebeu algo estranho: fora o fato de que o protetor de tela não fora baixado de um local da lista de repositórios aprovados do GNOME, ele também continha um script que executava algumas substituições peculiares.

Entre outras coisas, ele pegava um arquivo com o nome de auto.bash do servidor e o instalava no diretório /user/bin/, colocava um arquivo cahamdo de gnome.sh e o colocava no diretório /etc/profile.d/. O script executava, então, uma série de pings com pacotes muito grandes para um determinado servidor. O script presumivelmente estava ajudando em um ataque de negação de serviço (denial-of-service ou DoS) contra outros servidores que fornecem exploits para grandes jogos multiusuários, como o World of Warcraft.

O usuário postou sua descoberta no Ubuntu Forums e o protetor de tela desapareceu, então do site Gnome-Look.org. As especulações a respeito do que o script fazia exatamente e como removê-lo foram discutidas no forum. Aparentemente, o pacote no formato Debian (.deb), foi instalado com o nome de app5552. Determinou-se que, para remover o malware, junto com o script malicioso, seria necessário executar o seguinte comando no terminal:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh /usr/bin/index.php /usr/bin/run.bash && sudo dpkg -r app5552

Lições aprendidas:

1 – A melhor fonte de programas para seu Linux são os repositórios oficiais. Outros sites, mesmo populares, não podem ser considerados confiáveis.
2 – A atitude do usuário é responsável pela maior parte da segurança do sistema. Não adianta ter um ótimo sistema e atitudes inseguras. A corrente é tão forte como o mais frágil dos seus elos.
3 – Os administradores dos repositórios não oficiais devem ser mais criteriosos quanto à publicação de softwares em seus sites.
4 – A auditoria da comunidade provou ser eficaz, já que foi possível auditar o código fonte do pacote e encontrar sua verdadeira intenção.

Fonte: http://www.linux-magazine.com/Online/News/Malicious-Screensaver-Malware-on-Gnome-Look.org

Uma resposta to “Malware é encontrado em site popular para Linux”

  1. […] Malware é encontrado em site popular para Linux […]

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: