Összefoglaló
A Raubdo féreg legfontosabb jellemzője, hogy Linux alapú számítógépek között terjed. Méghozzá olyan módon, hogy egy fertőzött számítógépen véletlenszerűen IP-címeket generál, és azok alapján próbál távoli rendszerekhez kapcsolódni. A károkozó az SSH-alapú kapcsolatokat preferálja, amiket előre meghatározott felhasználónév- és jelszólista alapján próbál kiépíteni. Amennyiben ez sikerül számára, akkor a Temp mappába bemásol egy fájlt.
A Raubdo a fertőzött rendszereken távolról vezérelhető. Parancsokat egyebek mellett a Twitteren keresztül fogad, és ilyen módon próbálja kiküszöbölni, hogy egy ismeretlen vezérlőszerverrel történő adatkapcsolat feltűnést keltsen. A támadók többek között fájlfeltöltésre, állományok letöltésére és programok, kódok futtatására utasíthatják a szerzeményüket.
A Raubdo két hálózati porton keresztül hátsó kaput is kiépít a rendszereken.
Leírás
1. Véletlenszerűen IP-címeket generál.
2. Az IP-címek alapján megpróbál kapcsolódni távoli kiszolgálókhoz SSH-n keresztül.
3. Amennyiben sikerül csatlakoznia egy távoli rendszerhez, akkor arra felmásol egy állományt az alábbiak szerint:
/tmp/.xs
4. Kapcsolódik az alábbi webhelyekhez, amelyekről parancsokat szerez be:
twitter.com
reddit.com
my.mail.ru
5. Végrehajtja a támadók parancsait.
6. Nyit egy hátsó kaput a 9000 és az 1337 portok felhasználásával.
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
- Használjon offline biztonsági mentést!
- Az eltávolításban segítséget nyújthat: Symantec AntiVirus for Linux.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu