Összefoglaló
A Mokes trójai kifejezetten linuxos számítógépek megfertőzésére alkalmas. A károkozó célja, hogy értékes adatokkal lássa el a terjesztőit, amit képernyőképek rendszeres készítésével igyekszik elérni. A képállományokat az átmeneti fájlok tárolására szolgáló mappába menti le, majd onnan tölti fel azokat a 80-as vagy a 443-as TCP portokon keresztül.
A Mokes kizárólag akkor képes ellátni a feladatát, ha a rendszeren megtalálható a GLIBC 2.14-es vagy annál újabb kiadása.
A trójai több esetben a Dropbox vagy a Firefox ismertségével él vissza.
Leírás
1. Létrehozza a következő állományokat:
$path/.mozilla/firefox/profiled
$path/.dropbox/DropboxCache
$HOME/.config/autostart/[véletlenszerű karakterek].desktop
2. Csatlakozik távoli kiszolgálókhoz a 80-as vagy a 443-as TCP porton keresztül.
3. Rendszeres időközönként képernyőképeket készít, amelyeket az alábbiak szerint ment le:
/tmp/ss[véletlenszerű karakterek]-[időpont].sst
4. Ellenőrzi az átmeneti fájlok tárolására szolgáló mappát, és a következő állományokat feltölti egy távoli vezérlőszerverre:
ss*.sst
kk*.kkt
aa*.aat
dd*.ddt
5. Letölt egy további fájlt, amit az alábbiak szerint ment le:
/tmp/ccXXXXXX.exe
Megoldás
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
- Tartsa naprakészen az operációs rendszert
- Kizárólag megbízható forrásokból telepítsen alkalmazásokat
- Körültekintően adjon jogosultságokat az alkalmazásainak
Támadás típusa
TrójaiHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu