Raubdo féreg

CH azonosító

CH-12732

Angol cím

Linux.Raubdo

Felfedezés dátuma

2015.10.28.

Súlyosság

Alacsony

Érintett rendszerek

Linux

Érintett verziók

Linux/Unix

Összefoglaló

A Raubdo féreg legfontosabb jellemzője, hogy Linux alapú számítógépek között terjed. Méghozzá olyan módon, hogy egy fertőzött számítógépen véletlenszerűen IP-címeket generál, és azok alapján próbál távoli rendszerekhez kapcsolódni. A károkozó az SSH-alapú kapcsolatokat preferálja, amiket előre meghatározott felhasználónév- és jelszólista alapján próbál kiépíteni. Amennyiben ez sikerül számára, akkor a Temp mappába bemásol egy fájlt. 

A Raubdo a fertőzött rendszereken távolról vezérelhető. Parancsokat egyebek mellett a Twitteren keresztül fogad, és ilyen módon próbálja kiküszöbölni, hogy egy ismeretlen vezérlőszerverrel történő adatkapcsolat feltűnést keltsen. A támadók többek között fájlfeltöltésre, állományok letöltésére és programok, kódok futtatására utasíthatják a szerzeményüket.

A Raubdo két hálózati porton keresztül hátsó kaput is kiépít a rendszereken.

Leírás

1. Véletlenszerűen IP-címeket generál.

2. Az IP-címek alapján megpróbál kapcsolódni távoli kiszolgálókhoz SSH-n keresztül.

3. Amennyiben sikerül csatlakoznia egy távoli rendszerhez, akkor arra felmásol egy állományt az alábbiak szerint:
/tmp/.xs

4. Kapcsolódik az alábbi webhelyekhez, amelyekről parancsokat szerez be:
twitter.com
reddit.com
my.mail.ru

5. Végrehajtja a támadók parancsait.

6. Nyit egy hátsó kaput a 9000 és az 1337 portok felhasználásával.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Symantec AntiVirus for Linux.