Tuesday, November 10, 2009

Virus baru untuk Linux



Agak sukar untuk mendengar sistem operasi linux diserang virus. Kerana biasanya sasaran hacker or virus developers ni adalah windows je kebanyakannya w32 dan tidak berkesan pada linux.. Tetapi pada 5 Ogos baru-baru ini satu Malware dikenalpasti menyerang system operasi linux iaitu Linux.Phalax


Dijumpai: August 5, 2008
Dikemaskini: August 5, 2008 5:24:41 PM
Jenis: Trojan
Jarak masa jangkitan: 23,984 bytes; 664,296 bytes; 561,032 bytes
Sistem yang dijangkiti: Linux

Linux.Phalax ialah satu “Linux Kernel rootkit” yang menginstall satu backdoor dalam sesebuah sistem operasi atau komputer.

Penilaian
Keliaran

* Tahap Keliaran: Low
* Jumlah Jangkitan: 0 – 49
* Jumlah Laman: 0 – 2
* Kesan Kepada Permukaan: Low
* Cara Mencegah: Easy
* Cara Untuk Buang : Easy

Kemusnahan

* Tahap Kemusnahan: Medium
* Dengan Cara: Membuka Backdoor untuk sesuatu sistem operasi atau komputer.

Penyebaran

* Tahap Penyebaran: Low

Cara Teknikal : -

Apabila rootkit bertindak, ia akan mewujudkan folder tersebut:

* /usr/share/.home.ph1/
* /usr/share/.home.ph1/tty/

Dan akan membina beberapa jenis fail:

* /usr/share/.home.ph1/cb
* /etc/host.ph1/hostname
* /usr/share/.home.ph1/.phalanx
* /usr/share/.home.ph1/.sniff

Kemudian, rootkit tersebut akan menggantikan fail-fail tersebut dengan malicious komponen, yang mana akan membuka backdoor pada komputer tersebut:

/bin/hostname

Rootkit tersebut sembunyikan kehadirannya di dalam sistem operasi linux dengan menrarik beberapa syscalls yang berada dalam sistem operasi linux tersebut:

* read
* lstat64
* lstat
* getdents64
* open

Ia kemudiannya akan menyambungkan ke remote host, yang mana boleh dipanggil sebagai penyerang.

Remote host tersebut dipilih dengan menghantar permohonan istimewa yang telah siap dengan passkey daripada local atau remote shell, contoh:

echo ‘phalanx1!111.222.333.444!PORT[PADDING]‘

Rootkit tersebut membolehkan penyerang remote untuk memberikan commands yang penuh dengan keistimewaan sistem tersebut.

Recommendations

Langkah Terbaik:-

Kalau antivirus anda dapat mngesan virus ini, Delete sahaja file tersebut tanpa banyak songel.

Apabila sesuatu threat menyerang komputer, maka susah untuk memastikan yang komputer tersebut telah didedahkan. Dalam kebanyakan kes, perubahan dalam sistem operasi yang dibuat oleh kebanyakan threat tidak akan menjadi. Walaubagaimanapun, pembuat virus ini boleh mnggunakan threat ini untuk mengakses komputer tersebut untuk membuat perubahan. Melainkan anda sememangnya pasti bahawa malicious aktiviti tidak berlaku dalam komputer atau sistem operasi anda. Dan saya recommend install semula sistem operasi anda adalah langkah yang terbaik untuk memastikan maklumat penting anda tidak didedahkan.

0 comments: