Mokes trójai

CH azonosító

CH-13006

Angol cím

Linux.Mokes

Felfedezés dátuma

2016.01.30.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux

Összefoglaló

A Mokes trójai kifejezetten linuxos számítógépek megfertőzésére alkalmas. A károkozó célja, hogy értékes adatokkal lássa el a terjesztőit, amit képernyőképek rendszeres készítésével igyekszik elérni. A képállományokat az átmeneti fájlok tárolására szolgáló mappába menti le, majd onnan tölti fel azokat a 80-as vagy a 443-as TCP portokon keresztül.

A Mokes kizárólag akkor képes ellátni a feladatát, ha a rendszeren megtalálható a GLIBC 2.14-es vagy annál újabb kiadása.

A trójai több esetben a Dropbox vagy a Firefox ismertségével él vissza.

Leírás

1. Létrehozza a következő állományokat:
$path/.mozilla/firefox/profiled
$path/.dropbox/DropboxCache
$HOME/.config/autostart/[véletlenszerű karakterek].desktop

2. Csatlakozik távoli kiszolgálókhoz a 80-as vagy a 443-as TCP porton keresztül.

3. Rendszeres időközönként képernyőképeket készít, amelyeket az alábbiak szerint ment le:
/tmp/ss[véletlenszerű karakterek]-[időpont].sst

4. Ellenőrzi az átmeneti fájlok tárolására szolgáló mappát, és a következő állományokat feltölti egy távoli vezérlőszerverre:
ss*.sst
kk*.kkt
aa*.aat
dd*.ddt

5. Letölt egy további fájlt, amit az alábbiak szerint ment le:
/tmp/ccXXXXXX.exe

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se
  • Tartsa naprakészen az operációs rendszert
  • Kizárólag megbízható forrásokból telepítsen alkalmazásokat
  • Körültekintően adjon jogosultságokat az alkalmazásainak

Hivatkozások

Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »