Mensagem forjada finge ser atualização para o Red Hat Linux

Cesar.AR (cesar.ar@@@@tutopia.com.br) enviou este link da Info e acrescentou: "Notícia veiculada no CIPSGA: A Sophos alerta sobre um scam que usa o nome da popular distribuição Linux Red Hat. O falso e-mail diz para a vítima que se trata de uma atualização oficial de segurança emitida pela empresa para seu sistema operacional. O scam chega pelo endereço security@redhat.com com o assunto: 'RedHat: Buffer Overflow in 'ls' e 'mkdir''. O link para baixar a suposta correção de segurança, no entanto, dispara o download de um arquivo suspeito." A nota oficial da Red Hat, além de informar como você pode reconhecer um anúncio oficial da empresa, esclarece que os arquivos obtidos por quem clicar no link da mensagem falsa contêm código malicioso projetado para comprometer os sistemas em que for executado. Segundo este comentário do Slashdot, o script cria uma conta extra de administrador (login=bash, obviamente com UID=0) no sistema e envia um e-mail informando detalhes sobre a máquina.

» Juca () em 26/10 23:10

Ora, ora... será essa uma vulnerabilidade para o Linux? Um script semelhante não poderia causar algum estrago em sistemas derivados do Knoppix (como Kurumin, p.ex.) em que não existe autenticação na partida?

» Juca () em 26/10 23:10

Mera curiosidade: Um script semelhante não poderia causar algum estrago em sistemas derivados do Knoppix (como Kurumin, p.ex.) em que não existe autenticação na partida?

» Augusto Campos () em 26/10 23:24

Não vejo como uma vulnerabilidade, e nem a relação com a autenticação. Em qualquer caso, o usuário tem que (a) acreditar que trata-se mesmo de uma legítima atualização de segurança (b) fazer o download dela (c) executá-la com um usuário administrativo.

É um cavalo de tróia tradicional, e a mesma técnica funcionaria em qualquer sistema operacional em que haja usuários administrativos que possam ser convencidos a executá-lo.

» Fabiano () em 27/10 00:17

Juca, não creio que cause problemas no kurumin (não sei quanto ao knoppix, porque nunca usei ...) pois o mesmo não roda com uma conta privilegiada (em outras palavras, você usa um usuário comum). A unica possibilidade, ao meu ver, é se o usuário utilizar uma root shell para executar o arquivo, mas como disse o Augusto, isso não é uma falha do Unix/Linux em si, mas das pessoas que o administram ...

» Stanley Morison (ex. StanStyle) () em 27/10 01:09

Claro que haverão alguns veículos de comunicação publicando algo assim: EXTRA! EXTRA! Virus para Linux compromete sistema...:)
Falondo em vírus, alguém sabem de mais detalhes do tal de Repeno ou Opener do Mas OS X ? Ouvi essa hístória e está bem mal contada...

» bardo () em 27/10 08:50

Não é algo tão problemático. Mas se colocar um "sudo" aí passa a afetar uma instalação kurumin (caso o usuário execute com a conta padrão).

» Stanley Morison () em 27/10 15:47

Desculpa ai: [Falando em vírus] - [alguém sabe] - [esta história]

» Cesar.AR () em 03/11 23:18

A análise do código trojan está em: http://www.linuxsecurity.com.br/redir.php?url=http://www.k-otik.com/news/FakeRedhatPatchAnalysis.txt

Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.

O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação, layout, tabela de caracteres, etc.) o acervo de notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter de acervo, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.