Mokes trójai

CH azonosító

CH-13006

Angol cím

Linux.Mokes

Felfedezés dátuma

2016.01.30.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A Mokes trójai kifejezetten linuxos számítógépek megfertőzésére alkalmas. A károkozó célja, hogy értékes adatokkal lássa el a terjesztőit, amit képernyőképek rendszeres készítésével igyekszik elérni. A képállományokat az átmeneti fájlok tárolására szolgáló mappába menti le, majd onnan tölti fel azokat a 80-as vagy a 443-as TCP portokon keresztül.

A Mokes kizárólag akkor képes ellátni a feladatát, ha a rendszeren megtalálható a GLIBC 2.14-es vagy annál újabb kiadása.

A trójai több esetben a Dropbox vagy a Firefox ismertségével él vissza.

Leírás

1. Létrehozza a következő állományokat:
$path/.mozilla/firefox/profiled
$path/.dropbox/DropboxCache
$HOME/.config/autostart/[véletlenszerű karakterek].desktop

2. Csatlakozik távoli kiszolgálókhoz a 80-as vagy a 443-as TCP porton keresztül.

3. Rendszeres időközönként képernyőképeket készít, amelyeket az alábbiak szerint ment le:
/tmp/ss[véletlenszerű karakterek]-[időpont].sst

4. Ellenőrzi az átmeneti fájlok tárolására szolgáló mappát, és a következő állományokat feltölti egy távoli vezérlőszerverre:
ss*.sst
kk*.kkt
aa*.aat
dd*.ddt

5. Letölt egy további fájlt, amit az alábbiak szerint ment le:
/tmp/ccXXXXXX.exe

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Tartsa naprakészen az operációs rendszert
  • Kizárólag megbízható forrásokból telepítsen alkalmazásokat
  • Körültekintően adjon jogosultságokat az alkalmazásainak

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu