Key4biz

Il virus Cavallo di Troia colpisce ancora

Mondo



Pochi giorni fa si &#232 ripetuto un episodio che nel recente passato aveva gi&#224 interessato altri noti software open source. Secondo quanto riportato dal CERT alcuni pacchetti di distribuzione dei codici sorgenti di libpcap e tcpdump, rispettivamente una libreria e un tool open source per il cosiddetto “packet sniffing”, sono stati modificati da un hacker e contengono un cavallo di Troia.

Le distribuzioni modificate sono apparse per la prima volta l`11 novembre sul server HTTPdi www.tcdump.org. Il CERT riporta che il team di sviluppo di tcpdump ha chiuso il download delle distribuzioni incriminate il 13 novembre, me altre copie di quei file potrebbero ancora essere disponibili su uno dei tanti siti mirror.

Il codice inserito nei codici sorgenti di tcpdump viene eseguito al momento della compilazione del pacchetto e tenta di connettersi ad un sito Web con lo scopo di scaricare uno script di shell chiamato services. Se scaricato ed eseguito, questo script compila e lancia il file conftes.c il quale a sua volta si connette ad un indirizzo IP sulla porta 1963/tcp e attende comandi dall`esterno.

Per chi ha scaricato e compilato una versione modificata di libcap o tcpdump il rischio &#232 dunque quello, secondo gli esperti di sicurezza, di consentire l`accesso al proprio sistema ad un aggressore che operi, o finga di operare, attraverso l`indirizzo IP specificato nel codice malevolo. In ogni caso, gli esperti suggeriscono di controllare sempre che la firma digitale che contrassegna ogni file corrisponda a quella originale: se cos&#236 non fosse, come nel caso delle versioni modificate di libcap e tcpdump, significa che il file non &#232 autentico.

Ci&#242 che preoccupa alcuni esperti di sicurezza &#232 il fatto che nel giro di pochi mesi incidenti simili abbiano interessato alcuni fra i pi&#249 diffusi pacchetti open source, fra cui OpenSSH e Sendmail.

Exit mobile version