[Greeklug] “Hand of Thief” banking trojan doesn’t do Windows—but it does Linux

Sergey Tsabolov ( aka linuxman ) sergios στο greeklug.gr
Τρί 20 Αυγ 2013 00:54:55 EEST 

Καλημέρα,

Στις 19/08/2013 10:32 μμ, ο/η Ponos K. Pavlos έγραψε:
> Καλησπέρα.
>
> Έτρεξα την εντολή που μου έγραψες παρακάτω αλλά δεν άλλαξε τπτ.
>
> Απ' το log file βλέπω αυτά:
>
> [22:28:14]   /usr/bin/unhide.rb                              [ Warning ]
> [22:28:14] Warning: The command '/usr/bin/unhide.rb' has been replaced 
> by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
>
> [22:29:10]   Checking for hidden files and directories       [ Warning ]
> [22:29:10] Warning: Hidden directory found: '/etc/.java'
>
> Τι λες;
Νομίζω ότι είσαι οκ, όπως αναφέρεται και εδώ 
http://lists.alioth.debian.org/pipermail/forensics-devel/2011-July/002907.html 

το unhide.rb είναι  It's part of the package named "unhide.rb"
Μπορείς να δεις και εδώ 
http://chrisjrob.com/2013/07/04/rkhunter-usrbinunhide-rb-has-been-replaced-by-usrbinunhide-rb/ 
και να το κάνεις.
Ότι αφορά το .java υπάρχει και είναι λογικό, με το ίδιο τρόπο μπορείς να 
προσθέσεις για να μην το διαβάζει και αυτό.

> Ponos K. Pavlos
> Send from Icedove
> On 08/12/2013 12:22 AM, Sergey Tsabolov ( aka linuxman ) wrote:
>>
>> Στις 11/08/2013 11:53 μμ, ο/η Ponos K. Pavlos έγραψε:
>>> Η αλήθεια είναι ότι κυρίως εταιρίες είναι ότι αγοράζουν antivirus 
>>> γιατί δεν μπορούν να κάνουν και αλλιώς. Δεν νομίζω ότι ένας απλός 
>>> χρήστης windows δεν θα κατεβάσει απ' το ίντερνετ και θα πάει να 
>>> σκάσει χρήματα.
>>>
>>> Προσωπικά εγώ κατεβάζω πακέτα μόνο απ' τα επίσημα αποθετήρια (+ το 
>>> mozilla.debian + mate) που ξέρω ότι είναι 100% ελεγμένα. Όλα τα άλλα 
>>> ενέχουν κινδύνους και καλό είναι να αποφεύγονται.. Όπως πολύ 
>>> σημαντικό είναι και το που σερφάρεις στο ίντερνετ, γιατί ναι μεν 
>>> κολλάμε πιο δύσκολα αλλά τίποτε δεν είναι άτρωτο ;)
>>>
>>> Και μια και αναφέρθηκε προηγουμένως το rkhunter και το chkrootkit, 
>>> εμένα που μου βγαίνουν τα παρακάτω, να ανησυχήσω;
>>>
>>> Από rkhunter:
>>> ---------------
>>> usr/bin/unhide.rb           [ *Warning* ]
>>> Checking for hidden files and directories                [ *Warning* ]
>>> -------------
>>>
>>> Από chkrootkit:
>>> -------------
>>> The following suspicious files and directories were found:
>>> /usr/lib/pymodules/python2.6/.path 
>>> /usr/lib/pymodules/python2.7/.path 
>>> /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/icedove/.autoreg
>>>
>>> eth0:avahi: PACKET SNIFFER(/sbin/dhclient[3446], 
>>> /usr/sbin/avahi-autoipd[3408])
>>> wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[2912], /sbin/dhclient[3028])
>>>
>>> Checking `chkutmp'... The tty of the following user process(es) were 
>>> not found in /var/run/utmp !
>>> ! RUID          PID TTY    CMD
>>> ! root         2882 tty7   /usr/bin/X :0 -auth 
>>> /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
>>>
>>>
>>> Τι λέτε;
>> Τίποτα το ανησυχητικό βλέπω, βγάζει καμία φορά δες το man πως το 
>> κάνεις να μάθει όλα τα αρχεία σου.
>> Η απλά τρέξε το παρακάτω ( σαν root )
>>
>> rkhunter --propupd && rkhunter --update && rkhunter --check
>>
>> Και μετά λογικά δεν θα είναι ίδια.
>>>
>>> Ponos K. Pavlos
>>> Send from Icedove
>>> On 08/11/2013 11:23 PM, Sergey Tsabolov ( aka linuxman ) wrote:
>>>>
>>>> Στις 11/08/2013 11:38 πμ, ο/η Konstantinos Boukouvalas έγραψε:
>>>>> Στις 11 Αυγούστου 2013 - 12:50 π.μ., ο χρήστης Sergey Tsabolov ( 
>>>>> aka linuxman ) <sergios στο greeklug.gr <mailto:sergios στο greeklug.gr>> 
>>>>> έγραψε:
>>>>>
>>>>>         Απλά πάντα εδώ έχει σημασία άνθρωπος και τι κάνει όταν
>>>>>     λειτουργεί ένα Λ.Σ..
>>>>>     Αν κάτι δεν ξέρεις τι είναι ρωτάς, αν δεν μπορείς ζήτα
>>>>>     βοήθεια, κάνε μία αναζήτηση και ρώτα αν αυτό που βρήκες είναι
>>>>>     έμπιστο, σωστό η όχι, και ποτέ μην εκτελείς ότι βρήκες μπροστά
>>>>>     σου, ρώτα αν δεν είσαι σίγουρος για κάτι.
>>>>>
>>>>> Η βιομηχανία antivirus δε θα υπήρχε αν όλοι εφήρμοζαν τον παραπάνω 
>>>>> κανόνα.-
>>>> Όχι δεν νομίζω, βιομηχανία βασίζεται κυρίως σε εταιρικούς πελάτες 
>>>> και όχι σε μεμονωμένους χρήστες που ως συνήθως βάζουν μαϊμού 
>>>> αντίγραφα, κάτι που σε εταιρικούς πελάτες είναι αρκετά σπάνιο.
>>>> Άλλα είτε έτσι είναι είτε αλλιώς χρήστες δεν ενδιαφέρονται καν τι 
>>>> τρέχουν και πως λειτουργεί,αν είναι καλό η όχι, από που προέρχεται 
>>>> και ποιος το έφτιαξε, και τι μπορεί να έχει βάλει μέσα, για αυτό 
>>>> εξάλλου κολλάνε ένα σωρό χαζομάρες από δίκτυο.
>>>>> Kindest Regards
>>>>> GREEKLUG Member
>>>>> K. E. BOUKOUVALAS
>>>>
>>>> -- 
>>>> --------------------------------------------------------------------------------------
>>>> Don't send me documents in .doc , .docx, .xls, .ppt . , .pptx
>>>> Send it with ODF format : .odt , .odp , .ods or .pdf .
>>>> Try to use Open Document Format :http://el.libreoffice.org/
>>>> Save you money   &  use GNU/Linux Distrohttp://distrowatch.com/  
>>>> -----------------------------------------------------------------------------------------
>>>> First they ignore you, then they ridicule you, then they fight you, then you win!!!
>>>>
>>>>
>>>> Greeklug mailing list
>>>>
>>>> Greeklug στο mail.greeklug.gr
>>>>
>>>> http://lists.greeklug.gr/mailman/listinfo/greeklug
>>>>
>>>> ----------------------------------------
>>>>
>>>> Το μη κερδοσκοπικό Σωματείο/Σύλλογος GreekLUG δεν φέρει καμία ευθύνη για το περιεχόμενο του παρόντος e-mail το οποίο εκφράζει μόνο τις απόψεις του συγγραφέα.
>>>
>>
>> -- 
>> --------------------------------------------------------------------------------------
>> Don't send me documents in .doc , .docx, .xls, .ppt . , .pptx
>> Send it with ODF format : .odt , .odp , .ods or .pdf .
>> Try to use Open Document Format :http://el.libreoffice.org/
>> Save you money   &  use GNU/Linux Distrohttp://distrowatch.com/  
>> -----------------------------------------------------------------------------------------
>> First they ignore you, then they ridicule you, then they fight you, then you win!!!
>

-- 
--------------------------------------------------------------------------------------
Don't send me documents in .doc , .docx, .xls, .ppt . , .pptx
Send it with ODF format : .odt , .odp , .ods or .pdf .
Try to use Open Document Format : http://el.libreoffice.org/
Save you money   &  use GNU/Linux Distro http://distrowatch.com/
-----------------------------------------------------------------------------------------
First they ignore you, then they ridicule you, then they fight you, then you win!!!

-------------- επόμενο μέρος --------------
Ένα συνημένο HTML καθαρίστηκε...
URL: <http://lists.greeklug.gr/pipermail/greeklug/attachments/20130820/f4740fb3/attachment.html>

Περισσότερες πληροφορίες για την Greeklug λίστα ηλεκτρονικού ταχυδρομείου