Trojan FakeFile Serang semua Distro, selain openSUSE

Dr. Web Antivirus membahas rinci terkait ditemukannya trojan linux yang menyebar bulan Oktober ini. Trojan yang mendompleng pada file PDF, Microsoft Office dan (ehm) OpenOffice ini beredar cukup luas sekarang. Trojan ini menyerang distro linux di platform desktop! bukan Server maupun IoT loh.

Uniknya, trojan ini dalam source codenya, secara jelas mengecualikan distro openSUSE. Artinya, semua distro linux selain openSUSE bisa terinfeksi trojan ini (mungkinkah pembuat trojan ini pengguna openSUSE?)

Salah satu ciri dari adanya trojan ini di sistem adalah adanya file

~/.gconf/apps/gnome-common/gnome-common 

, sekalipun tidak ada Gnome di desktop linux kita. File executable gnome-common ini yang mengeksekusi file decoy, “FakeFile”.

Extension application
“.doc .DOC .xls. XLS .ppt .PPT .docx .DOCX .xlsx .XLSX .pptx .PPTX .odt .ODT .ods .ODS .odp .ODP” soffice
“.pdf .PDF” evince
the rest is gedit

Selain file diatas, trojan ini juga menambah shortcut dan script di file .profile dan file .bash_profile, sehingga akan dieksekusi tiap saat setelah reboot.

Entah bagaimana bisa, trojan ini pun tidak membutuhkan akses setara root untuk bisa menginfeksi desktop kita. Trojan ini jika berjalan akan mencoba mengkoneksikan diri ke server pusat (C&C server) mereka, jika lebih dari 30 menit tidak terkoneksi, dia akan memulai berjalan dilain waktu.

Dikuti dari lab Dr.Web Antivirus, trojan ini bahkan memiliki perintah untuk menghapus data (rm -r) dan bisa set privileges 777.

Name Function
RR Send the C&C server the quantity of messages transferred during the session;
DR Send a list of the contents of the specified folder;
DF Send the C&C server the specified file or a folder with all its contents;
D1 Delete a file using the command rm –r
D0 Delete a file using the command unlink
RF Rename a folder;
US Remove itself
RP Launch a new copy of a process
QQ Close the current session
RT Establish backconnect and run sh
CP Terminate the backdoor’s operation
FF Open the executable file of the process for writing
CO Close the process file
BF Create a file or folder
FD Write the transmitted values to a file
EF Obtain the directory listing by using the command ls
CX Set 777 privileges on the specified file
CR Terminate backconnect

Solusi

Pasang saja antivirus bang. Sudah tidak zaman lagi, Linux itu gak bisa kena virus. :p Sampai saat ini (menurut searching di VirusTotal.com) baru 2 dari puluhan antivirus yang bisa detek trojan ini:
– Dr. Web Antivirus, dan
– Avast

fakefile2

2 Comments

Leave a Reply