Info Cryptominer verwijdert anti-virussoftware van Linux-systemen

Dotchiejack

Well-known member
Een nieuwe cryptominer die Linux-systemen infecteert verwijdert niet alleen concurrerende cryptominers, ook aanwezige anti-virussoftware wordt verwijderd. Hoe de malware precies op Linux-systemen terechtkomt laat anti-virusbedrijf Doctor Web niet weten.
Eenmaal actief op een systeem zoekt de cryptominer naar concurrerende cryptominers en verwijdert die. Wanneer de cryptominer niet met rootrechten is gestart gebruikt het twee kwetsbaarheden in Linux om de rechten te verhogen. Het gaat om een beveiligingslek uit 2013 en de Dirty COW-kwetsbaarheid uit 2016. Vervolgens zoekt de cryptominer naar de aanwezigheid van bepaalde anti-virussoftware. De malware stopt niet alleen de processen van de virusscanners, ook gebruikt het package managers om die te verwijderen.
Na deze acties voegt de malware zich toe aan de Autorun-list en start een rootkit op het apparaat. Pas na al deze stappen wordt de daadwerkelijke cryptominer gestart die de rekenkracht van het systeem gebruikt om de cryptovaluta Monero te delven. Het gebruik van rootkits door cryptominers is niet nieuw. Onlangs waarschuwde ook anti-virusbedrijf Trend Micro dat het een cryptominer had gevonden die van een rootkit-componet was voorzien. De rootkit verbergt het proces dat voor het delven van de cryptovaluta verantwoordelijk is voor monitoringtools.
"Cryptomining-malware kan voor grote prestatieproblemen zorgen, met name op Linux-systemen, gegeven hun gebruik in het draaien en beheren van bedrijfsprocessen, van servers, workstations, ontwikkelframeworks en databases tot mobiele apparaten", zegt analist Augusto II Remillano van Trend Micro. Beheerders krijgen dan ook het advies om "securityhygiëne" toe te passen, zoals het regelmatig installeren van patches, het verkleinen van het aanvalsoppervlak via access control policies, het hardenen van systemen via security-extensies en het toepassen van het "least privilige"principe.
bron: security.nl
 

Abraham54

Administrator
Ondersteuning
Bovenstaande is natuurlijk een probleem, maar gewone Linux gebruikers hoeven zich niet aangesproken te voelen.

De waarschuwing betreft de serverwereld, die door Linux serversoftware wordt overheerst.
En het zijn die servers, die slordig worden bijgehouden en niet up to date zijn, die slachtoffer kunnen worden van de vermelde cryptominer malware.
 

Black Tiger

Well-known member
maar gewone Linux gebruikers hoeven zich niet aangesproken te voelen.
Toch wel, want net als bij Windows kunnen ook up2date gehouden systemen er last van krijgen door 3rd party applicaties die niet lekker zijn of gewoon door 0 day issues bij applicaties.
Dus inderdaad met name de serverwereld, maar de gewone gebruiker moet net zo goed opletten want je systeem up2date houden is nooit een garantie dat je niet geinfecteerd kunt worden.
 
Bovenaan Onderaan