Vi un enlace sobre CrossRat Malware en Quora. ¿Es este malware un problema en Ubuntu 14.04?
No he podido encontrar la ubicación indicada para Linux en mi Ubuntu. Además, generalmente tengo Java desactivado en mi navegador (¿cuál debería ser seguro?), pero en ocasiones lo enciendo (¿no es seguro?). Jugué un juego de Java hace un tiempo, pero no estoy seguro de si fue antes de que fallara. o después.
Lo pregunto porque he tenido problemas de bloqueo aleatorios con bastante regularidad en Firefox y muy, muy, muy ocasionalmente en gThumb, ninguna otra aplicación/paquete parece tener el problema de bloqueo.
Reemplacé Firefox con una versión móvil de Firefox, pero no hubo cambios en Firefox. Los complementos no hacen ninguna diferencia, ninguno o mis tropecientos complementos habituales siguen siendo los mismos, Firefox aleatorio falla, a veces funciona bien durante períodos prolongados, otras veces falla tras falla tras falla.
He utilizado administradores de paquetes Synaptic para reparar paquetes rotos, también he actualizado... y cualquier otra cosa sobre la que he leído en la búsqueda que enumera fallas de aplicaciones/paquetes, sin cambios en nada.
Conseguí que Ubuntu fallara en la instalación del controlador Nvidia (debería quedarme con el controlador Nouveau), la recuperé por mi cuenta, estoy bastante orgulloso de eso. :)
Por cierto,antes de responder"CrossRAT es un troyano de acceso remoto multiplataforma que puede apuntar a cuatro sistemas operativos de escritorio populares: Windows, Solaris, Linux y macOS..." Así que, por favor, no me digan que Linux estándar hace cosas diferentes al bit de virus de Windows, ya que Este es un caso en el que eso no se aplica, ya que este POS blipin funciona en Linux.
También se mencionó a Denebian en el artículo, pero no a Ubuntu. Además, según el artículo, la mayoría de los detectores de virus no encontrarán este POS.
Respuesta1
Sí, lo es, pero se sigue aplicando la misma regla: es una amenaza, pero sólo si lo permites. -Es necesario- activar la instalación. Para mí eso es suficiente para no tener esto activado nunca en mi sistema.
Respecto a este malware:
Hay dos lugares donde aparece este malware.
mediamgrs.jarpresentar en/usr/var/archivo
~/.config/autostartprobablemente llamadomediamgrs.desktop.- El primero es imposible estar allí a menos que proporcione la contraseña de administrador.
/usr/es propiedad de "root", por lo que requiere su contraseña de administrador para almacenar cualquier programa. - el segundo es imposible a menos que lo descargues tú mismo.
- El primero es imposible estar allí a menos que proporcione la contraseña de administrador.
Entonces, por favor, no me digas que Linux estándar hace las cosas diferentes.
Lo siento, pero eso TODAVÍA es cierto: Linux HACE cosas diferentes a Windows. Mantenga segura su contraseña de administrador y no tendrá nada que temer.
Además de eso: eliminar los 2 archivos cuando estén presentes es suficiente para eliminarlos de su sistema.
Respecto a los comentarios:
El malware instala un nuevo directorio var en usr. "El segundo problema es ¿cómo puede una página web instalar el bicho desconocido para el usuario, si es necesario ingresar una contraseña de administrador o "descargarlo tú mismo" como mencionas?" No puede hacerlo en Linux: la descarga siempre va a la descarga predeterminada del navegador. Entonces... necesitas descargarlo. necesitas ejecutar la descarga. debe proporcionar la contraseña de administrador cuando se le solicite. ¿Ves el problema de cualquier malware que quiera instalarse fuera de tu /home? Incluso dentro de tu /home necesitas ejecutar la descarga.
"wine" es Windows. Así que sí, Wine siempre es un problema, pero repito: no insertes tu administrador a menos que sepas que se debe preguntar = 99,8% seguro (eso nunca será 100%) y cualquier problema relacionado con el otro El 0,2% se puede solucionar ya que todavía eres el administrador o tienes una copia de seguridad :) "No tengo ningún archivo "mediamgrs" pero cambiar un nombre solo toma un segundo, por lo que no es reconfortante, bueno, en realidad no lo es". Es posible que el malware utilice nombres de archivos aleatorios, por lo que sí, es seguro.
Podrían usar nombres diferentes, pero entonces alguien también incluiría esos nombres. Éste usa 2 ubicaciones (1 en /usr/var/ y 1 .config como archivo de escritorio. Fácil de detectar. Fácil de eliminar. No es realmente un problema para un usuario que se sienta cómodo con la línea de comandos o para alguien cuidadoso con la contraseña de administrador;) ) Tenga en cuenta también lo que quieren los creadores de malware: quieren ganar dinero. A menudo, recopilando direcciones de correo electrónico, información de tarjetas de crédito, etc. Y preferiblemente lo más rápido posible... Windows sigue siendo un objetivo mucho más fácil.
Consejos generales:
- NO utilice directorios compartidos. Samba y Wine son puntos de entrada, aunque es necesario crear malware/virus para abusar de este tipo de método.
- no automatice procesos que requieran una contraseña.
- Mantenga segura su contraseña de administrador
- Cree (y verifique que pueda restaurar) copias de seguridad; Si todo lo demás falla, una copia de seguridad de sus datos personales es suficiente para eliminar muchos problemas.
Respuesta2
Con respecto a la necesidad de escribir en /usr/var, tenga en cuenta que crossRAT recurrirá a ~/Library si no puede escribir en /usr/var. Como han señalado otros comentaristas, la única forma real de prevenir la infección es nunca permitir que su navegador (o cliente de correo electrónico) ejecute un archivo .jar.