Groundhog trójai

CH azonosító

CH-12781

Angol cím

Linux.Groundhog

Felfedezés dátuma

2015.11.12.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A Groundhog trójai a Linux alapú számítógépekre nézve jelent veszélyt. Elsősorban azáltal, hogy azokon egy hátsó kaput létesít, amin keresztül fogadja a terjesztői által kiadott parancsokat. A kártékony program ilyen módon egyebek mellett fájlok letöltésére, folyamatok leállítására, fájlok törlésére és egyéb parancsok végrehajtására is utasítható. Emellett távolról törölhető abban az esetben, ha a nyomokat gyorsan akarják eltüntetni a csalók.

A Groundhog nem kizárólag hátsó kapu kiépítéséből veszi ki a részét. Emellett adatlopásban is szerepet tud vállalni. A jelenlegi variánsa elsősorban rendszerinformációkat gyűjt össze, illetve szivárogtat ki a támadók számára, akik ezáltal pontosan felmérhetik, hogy a szerzeményük milyen erőforrásokkal rendelkező rendszerre jutott fel.

Leírás

1. Létrehozza a következő állományt:
/tmp/[véletlenszerű karakterek]

2. Kapcsolódik egy előre meghatározott távoli kiszolgálóhoz.

3. Egy hátsó kaput létesít az alábbi portok egyikének felhasználásával:

  • 22
  • 53
  • 80
  • 443
  • 1433
  • 1521
  • 3306

4. Rendszerinformációkat gyűjt össze.

5. Várakozik a támadók parancsaira, amiket rögtön végrehajt.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!