Bomba.: Novo malware (rootkit) ataca servidores Linux!

Uma das principais vantagens dos S.Os Linux e OS X (antigo Mac OS X), sobre o Windows, é eles serem sistemas muito mais seguros que o da Microsoft. No entanto, é muito comum os usuários de tais sistemas se equivocarem em dizer que não existem malwares para eles, o que logicamente está errado. Recentemente pesquisadores da área de segurança descobriram um novo rootkit criado especialmente para atacar servidores web que rodam Linux (Linux Web Servers).

De vez em quando, ameaças para Linux e OS X surgem na internet, mas é bem verdade que elas só são capazes de serem executadas na máquina se o usuário permitir que isso aconteça, diferentemente do Windows. O novo malware para Linux age da seguinte forma: depois de infectar a máquina, a praga tenta se esconder do administrador do sistema (root) simplesmente não aparecendo na lista de processos, o que torna sua detecção um pouco mais difícil; em seguida, ele injeta códigos maliciosos em todas as páginas hospedadas no servidor.

O rootkit foi divulgado publicamente, pela primeira vez, no dia 13 de novembro por um usuário da lista de emails Full Disclosure. Para quem não sabe, listas de emails, que funcionam como se fossem fóruns, são extremamente comuns entre desenvolvedores e colaboradores de um determinado software. De acordo com o usuário, o qual usa o nick stacktrace, alguns de seus clientes estavam reclamando que eram redirecionados para sites com códigos maliciosos ao acessarem seus domínios. Intrigado, stacktrace começou a procurar por pragas no servidor e, após algum tempo, descobriu dois processos ocultos na máquina, a qual estava rodando a distro Linux Debian Squeeze com um servidor web nginx 1.2.3.

Uma empresa de segurança, de nome CrowdStrike, analisou o rootkit e constatou que ele realmente é uma ameaça nova e não apenas uma modificação de um malware já existente. Segundo a empresa, o desenvolvedor do rootkit não possui muita experiência no assunto, pois a análise do malware revelou que a qualidade de seu código é relativamente ruim e que a técnica de tentar se esconder da lista de processos não funciona muito bem.

Segundo um especialista em segurança da Kaspersky Labs, o referido rootkit é um módulo compilado para o kernel Linux 2.6.32-5, que é a versão mais recente do Kernel da distro Debian Squeeze, e ele visa substituir a função tcp_sendmsg, que é responsável por construir os pacotes de transmissão TCP, por outra adulterada que permita a injeção de códigos maliciosos diretamente "diretamente no tráfego de saída do servidor" (citado de Ubuntued Forum). O malware é identificado com a "assinatura" Trojan:Linux/Snakso.A.

Agora temos outro rootkit para Linux que, em breve, não mais verá a luz do dia. Essa é mais uma vantagem do Linux: a comunidade desenvolvedora.


[Fonte: Ubuntued Forum, CrowdStrike]