Mokes trójai

CH azonosító

CH-13006

Angol cím

Linux.Mokes

Felfedezés dátuma

2016.01.30.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A Mokes trójai kifejezetten linuxos számítógépek megfertőzésére alkalmas. A károkozó célja, hogy értékes adatokkal lássa el a terjesztőit, amit képernyőképek rendszeres készítésével igyekszik elérni. A képállományokat az átmeneti fájlok tárolására szolgáló mappába menti le, majd onnan tölti fel azokat a 80-as vagy a 443-as TCP portokon keresztül.

A Mokes kizárólag akkor képes ellátni a feladatát, ha a rendszeren megtalálható a GLIBC 2.14-es vagy annál újabb kiadása.

A trójai több esetben a Dropbox vagy a Firefox ismertségével él vissza.

Leírás

1. Létrehozza a következő állományokat:
$path/.mozilla/firefox/profiled
$path/.dropbox/DropboxCache
$HOME/.config/autostart/[véletlenszerű karakterek].desktop

2. Csatlakozik távoli kiszolgálókhoz a 80-as vagy a 443-as TCP porton keresztül.

3. Rendszeres időközönként képernyőképeket készít, amelyeket az alábbiak szerint ment le:
/tmp/ss[véletlenszerű karakterek]-[időpont].sst

4. Ellenőrzi az átmeneti fájlok tárolására szolgáló mappát, és a következő állományokat feltölti egy távoli vezérlőszerverre:
ss*.sst
kk*.kkt
aa*.aat
dd*.ddt

5. Letölt egy további fájlt, amit az alábbiak szerint ment le:
/tmp/ccXXXXXX.exe

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Tartsa naprakészen az operációs rendszert
  • Kizárólag megbízható forrásokból telepítsen alkalmazásokat
  • Körültekintően adjon jogosultságokat az alkalmazásainak

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu


Legfrissebb sérülékenységek
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2023-1256 – aveva / telemetry server, aveva / aveva plant scada sérülékenysége
CVE-2023-28100 – Flatpak sérülékenysége
CVE-2022-38063 – social login wp project / social login wp sérülékenysége
CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége
Tovább a sérülékenységekhez »