Mumblehard o novo temor dos administradores de sistemas Linux e BSD.



Já operando a pelo menos 5 anos, ou mais, a estrutura montada para a distribuição e uso de uma rede formada de spambots foi descoberta após 7 meses de investigação pela equipe de pesquisadores da empresa ESET, que mostra muito mais detalhes no seu relatório sobre o assunto que pode ser visto no seguinte >link< e também em uma prévia sobre o assunto no post >link< do blog da empresa.

Uma das características que chamaram muito a atenção dos pesquisadores é que este malware, desenvolvido em perl e em assembler tem módulo muito sofisticados e personalizados para buscar falhas específicas em servidores linux e, com algumas suspeitas, também servidores OpenBSD.

Nos 7 meses de pesquisa, os pesquisadores da ESET foram capazes de identificar mais de 8500 endereços IPs únicos, o que na frente de outros malwares já vistos pode representar um número muito pequeno mas, como já falado antes o que chama a atenção são os alvos e a forma como estes equipamentos estão sendo infectados. Na imagem abaixo, trazida do relatório da EXET, podemos ver parte da funcionalidade desta rede de spambots.




O que nos parece é que esta nova estrutura tem apenas uma única função, a de envio de uma grande quantidade de SPAM, diferente das demais redes de bots, que além de spam eram usadas para o roubo de informações.

Segundo informações, os servidores são contaminados quando realizam a instalação modificada de um software chamado DirectMailer, software oferecido por U$240,00 diretamente no site da empresa YellSoft. Aparentemente o software modificado da empresa esta sendo usado para contaminar servidores.

Os administradores de servidores estão sendo orientados a verificar seus sistemas para tentar identificar se foram contaminados pelo malware, mesmo aqueles que não usam o software indicado como a origem das infecções devem proceder com esta análise, visto que não se tem certeza sobre o DirectMailer ser o único software que tenha sofrido as alterações.

Para melhor análise, os administradores devem verificar suas configurações do CRON, buscando por entradas estranhas que são acionadas a cada 15 minutos. Geralmente os arquivos que são chamados pelo CRON podem ser localizados em /var/tmp e /tmp. Outra orientação é montar os diretórios temporários com a opção noexec.

Nenhum comentário :

Postar um comentário

Gostaria de saber a sua opinião.