Malware solo per Windows?

Una delle storielle più false che si raccontano tra loro i fan di sistemi operativi desktop o server non-Windows è che il malware esista solamente su Windows.

Di recente è stato scoperto un rootkit per Linux che aggiunge un IFRAME ai web server basati su nginx.

CrowdStrike ha analizzato il malware, che colpisce il kernel 2.6.32-5, l’ultima versione distribuita da Debian Squeeze.

Il rootkit sembra stato creato ex-novo, non sembra essere una ricompilazione di qualcosa di esistente e sembra di origine russa (come nginx).

La persistenza del rootkit dopo il reboot è garantita da un processo che verifica ogni tre minuti /etc/rc.local e controlla se contiene il comando

insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko

la cui presenza viene però nascosta, come dettagliato nell’articolo di CrowdStrike.

Non è ancora chiaro come avvenga la prima installazione del malware, che richiede privilegi di root. L’analisi della qualità del codice suggerisce che chi l’ha scritto potrebbe non avere le capacità di scrivere un proprio sistema di privilege escalation locale. (via F-Secure)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Malware solo per Windows?”

  1. Windwos? Che facciamo correggiamo il titolo ma lasciamo intatta la URL? Oppure correggiamo anche la URL e mettiamo un 301? 😀

Spazio per un commento