Mumblehard o novo temor dos administradores de sistemas Linux e BSD.
Já operando a pelo menos 5 anos, ou mais, a estrutura montada para a distribuição e uso de uma rede formada de spambots foi descoberta após 7 meses de investigação pela equipe de pesquisadores da empresa ESET, que mostra muito mais detalhes no seu relatório sobre o assunto que pode ser visto no seguinte >link< e também em uma prévia sobre o assunto no post >link< do blog da empresa.
Uma das características que chamaram muito a atenção dos pesquisadores é que este malware, desenvolvido em perl e em assembler tem módulo muito sofisticados e personalizados para buscar falhas específicas em servidores linux e, com algumas suspeitas, também servidores OpenBSD.
Nos 7 meses de pesquisa, os pesquisadores da ESET foram capazes de identificar mais de 8500 endereços IPs únicos, o que na frente de outros malwares já vistos pode representar um número muito pequeno mas, como já falado antes o que chama a atenção são os alvos e a forma como estes equipamentos estão sendo infectados. Na imagem abaixo, trazida do relatório da EXET, podemos ver parte da funcionalidade desta rede de spambots.
O que nos parece é que esta nova estrutura tem apenas uma única função, a de envio de uma grande quantidade de SPAM, diferente das demais redes de bots, que além de spam eram usadas para o roubo de informações.
Segundo informações, os servidores são contaminados quando realizam a instalação modificada de um software chamado DirectMailer, software oferecido por U$240,00 diretamente no site da empresa YellSoft. Aparentemente o software modificado da empresa esta sendo usado para contaminar servidores.
Os administradores de servidores estão sendo orientados a verificar seus sistemas para tentar identificar se foram contaminados pelo malware, mesmo aqueles que não usam o software indicado como a origem das infecções devem proceder com esta análise, visto que não se tem certeza sobre o DirectMailer ser o único software que tenha sofrido as alterações.
Para melhor análise, os administradores devem verificar suas configurações do CRON, buscando por entradas estranhas que são acionadas a cada 15 minutos. Geralmente os arquivos que são chamados pelo CRON podem ser localizados em /var/tmp e /tmp. Outra orientação é montar os diretórios temporários com a opção noexec.
Assinar:
Postar comentários
(
Atom
)
Nenhum comentário :
Postar um comentário
Gostaria de saber a sua opinião.