Összefoglaló
Az Xnote különlegessége abban rejlik, hogy nem Windows-os, hanem Linux alapú számítógépeket fertőz meg. Ugyanakkor a Windows-os társaitól meglehetősen sok mindent eltanult, így a funkcionalitását tekintve egy teljes értékű backdoornak, illetve adatlopó programnak tekinthető.
Az Xnote – hasonlóan, ahogy ezt a Windows-os károkozók többsége is teszi – először arról gondoskodik, hogy a rendszer újraindítása után is működőképes maradjon. Ehhez init.d állományokat manipulál. Amint ezzel végez, akkor csatlakozik az előre meghatározott távoli kiszolgálókhoz, amelyekről parancsokat fogad, illetve fájlokat tölt fel azokra. Mindezek mellett pedig képes kiszivárogtatni a legfontosabb rendszerparamétereket.
Leírás
1. Felmásolja a rendszerre a saját állományait a következők szerint:
/bin/iptable6
/tmp/.wq4sMLArXw
2. Manipulálja az alábbi fájlokat:
/etc/init.d
/etc/init.d/lightdm
/etc/init.d/acpid
/etc/init.d/x11-common
/etc/init.d/udev
/etc/init.d/kmod
A fentiek mindegyikéhez hozzáadja a következő bejegyzést:
“/bin/iptable6”
3. Eltávolítja azt a fájlt, amellyel eredetileg felkerült a rendszerre.
4. Csatlakozik előre meghatározott távoli szerverekhez.
5. Nyit egy hátsó kaput.
6. Szerepet vállal elosztott szolgáltatásmegtagadási támadásokban.
7. Rendszerinformációkat gyűjt össze, illetve szivárogtat ki.
8. További nemkívánatos fájlokat tölt le.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com