Una delle storielle più false che si raccontano tra loro i fan di sistemi operativi desktop o server non-Windows è che il malware esista solamente su Windows.
Di recente è stato scoperto un rootkit per Linux che aggiunge un IFRAME ai web server basati su nginx.
CrowdStrike ha analizzato il malware, che colpisce il kernel 2.6.32-5, l’ultima versione distribuita da Debian Squeeze.
Il rootkit sembra stato creato ex-novo, non sembra essere una ricompilazione di qualcosa di esistente e sembra di origine russa (come nginx).
La persistenza del rootkit dopo il reboot è garantita da un processo che verifica ogni tre minuti /etc/rc.local e controlla se contiene il comando
insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko
la cui presenza viene però nascosta, come dettagliato nell’articolo di CrowdStrike.
Non è ancora chiaro come avvenga la prima installazione del malware, che richiede privilegi di root. L’analisi della qualità del codice suggerisce che chi l’ha scritto potrebbe non avere le capacità di scrivere un proprio sistema di privilege escalation locale. (via F-Secure)
