Umbreon virus per Linux che si ispira ai Pokémon.
By Matteo Gatti
Pokemon è ancora al centro dell’attenzione ma stavolta non a causa della popolare applicazione sviluppata da Niantic per iOS e Android.
Trend Micro, leader mondiale per la protezione dati in internet e per la sicurezza nel cloud, ha da pochi giorni rilevato un nuovo rootkit che ha come bersaglio i dispositivi Linux-based. Il rootkit è in grado di colpire sistemi a 32 bit o a 64 bit sia basati su Intel che su ARM. Persino i sistemi embedded (come i router) sono a rischio.
Il nome del rootkit è Umbreon, nel videogioco Umbreon è un Pokemon che si nasconde nell’ombra, da qui il nome del virus.
Dopo essersi infiltrato nel vostro pc Umbreon crea un account utente fittizio che gli hacker usano per accedere al device via SSH. Questa la home screen che viene mostrata quando il virus vi ha colpito:
Se vedete quest’immagine sul vostro pc preoccupatevi: stavolta è Umbreon che ha catturato voi.
Trend Micro l’ha contrassegnato come un rootkit ring 3 ovvero un virus che non va a toccare il kernel ma agisce a livello utente è quindi in grado di spiare tutto ciò che fate col vostro pc. E’ in grado di intercettare le più importanti system call (read, write etc) del sistema operativo.
Il virus, interamente scritto in C, va a modificare la glibc (GNU C library) riscrivendone il loader per fare in modo che il sistema vada ad utilizzare le sue librerie al posto di quelle originali: ecco perchè è rilevabile solo da software che non sono basati sulla libc.
La backdoor espeon
Espeon, altro nome di Pokemon, è invece una backdoor usata dai malintenzionati per accedere ai sistemi infettati con Umbreon.
Espeon va a creare una shell, che viene configurata per collegarsi automaticamente ai pc degli hacker agendo come una reverse shell permettendo il bypass dei firewall.
Espeon cattura tutto il traffico TCP che giunge all’interfaccia Ethernet.
Come rimuoverlo
E’ possibile rimuoverlo dopo essere stati colpiti ma non è un’operazione semplice e potrebbe andare a compromettere il sistema, come spiegato sul blog ufficiale di Trend Micro.
Questa la mini guida messa a disposizione dall’azienda:
- Mount the partition where the /usr directory is located; (necessari i permessi di scrittura)
- Backup all the files before making any changes.
- Remove the file /etc/ld.so..
- Remove the directory /usr/lib/libc.so..
- Restore the attributes of the files /usr/share/libc.so…*.so and remove them as well.
- Patch the loader library to use /etc/ld.so.preload again.
- Umount the partition and reboot the system normally.
Questo è un esempio:
Lo svilppo di Umbreon è iniziato nel 2015 e oggi è un rischio per la comunità Linux, pertanto occhi aperti quando installate o scaricate file dal web.
Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus.
Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.
L’articolo Umbreon virus per Linux che si ispira ai Pokémon. sembra essere il primo su Lffl.org.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
