Un laporan resmi de Symantec tanggal 26 November kepungkur, waspada yen ana virus anyar, dibaptisake dadi linux darlioz, sing bisa mengaruhi macem-macem komputer, nggunakake kerentanan "php-cgi" (CVE-2012-1823) sing ana ing PHP 5.4.3 lan 5.3.13
Kerentanan iki mengaruhi sawetara versi distribusi GNU / Linux kayata Ubuntu, TurboLinux, SuSE, Red Hat, Mandriva, Debian, lan liya-liyane, uga Mac OS X 10.7.1 nganti 10.7.4, lan Mac OS X Server 10.6.8 nganti 10.7.3.
Sanajan kerentanan iki ing PHP dideteksi lan didandani wiwit Mei 2012, akeh komputer sing isih ketinggalan jaman lan nggunakake versi lawas saka PHP, sing nyebabake target target infeksi gedhe-gedhe.
Prosedur infeksi, kaya sing dijelasake ing artikel de PCWorld, ing ngisor iki:
Sawise dieksekusi, cacing kasebut kanthi acak ngasilake alamat IP, ngakses jalur tartamtu ing mesin kanthi ID lan sandhi sing dingerteni, lan ngirim panjaluk HTTP POST, sing ngeksploitasi kerentanan kasebut. Yen kerentanan durung bisa didandani babagan target, cacing kasebut diunduh saka server sing mbebayani lan wiwit golek target anyar
Miturut dikirim ing blog sampeyan dening Kaoru hayashi, peneliti saka Symantec, cacing anyar iki kayane dirancang kanggo nginfeksi, saliyane komputer tradisional, macem-macem piranti sing nyambung menyang jaringan, kayata router, kothak set-top, kamera keamanan, lan liya-liyane, sing bisa digunakake kanggo macem-macem jinis GNU / Linux.
Senajan Symantec ngevaluasi tingkat risiko virus iki minangka "sithik banget" lan level distribusi lan ancaman "kurang" lan nganggep wadhah lan penghapusan "gampang", nyatane risiko potensial sing diwakili tambah akeh yen kita ngetrapake substansial nambahake manawa sing diarani "internet samubarang" saiki wis didaftar.
Sepisan maneh miturut Symantec, Saiki, panyebaran cacing mung ana ing antarane sistem x86 amarga binar sing diunduh ana ing ELF (Format Eksekusi lan Linkable) kanggo arsitektur Intel, nanging peneliti nuduhake manawa server uga duwe macem-macem arsitektur ARM, PPC, MIPS y MIPSEL, sing paling penting babagan potensial piranti kanthi arsitektur kasebut sing bisa kena infeksi.
Header ELF versi cacing kanggo ARM
Wis dingerteni manawa firmware sing dipasang ing pirang-pirang piranti adhedhasar GNU / Linux lan biasane kalebu server web karo PHP kanggo antarmuka admin.
Iki tegese risiko potensial luwih gedhe tinimbang komputer kanthi distribusi GNU / Linux, amarga ora kaya sing terakhir, dheweke ora sacara rutin nampa update keamanan sing dibutuhake kanggo mbenerake kerentanan sing dideteksi, sing ditambahake kanggo nindakake nganyari firmware derajat ilmu teknis sing dibutuhake, yaiku bagean sing apik saka pihak sing duwe piranti kaya ngono.
ing rekomendasi supaya ora kena infeksi kanthi cacing iki cukup gampang: tetep nganyari sistem kita kanthi patch keamanan sing diterbitake lan langkah-langkah keamanan dhasar sing ekstrim karo piranti sing nyambung menyang jaringan, kayata ganti alamat IP default, jeneng pangguna lan sandhi y tetep nganyari firmware, kanthi dirilis dening pabrikan, utawa kanthi setara gratis sing kasedhiya saka situs sing diakoni.
Disaranake uga kanggo mblokir panjaluk POST sing mlebu uga jinis telpon HTTPS liyane, yen bisa.
Saliyane, wiwit saiki disaranake mikir nalika ngevaluasi akuisisi peralatan anyar, gampang nganyari firmware lan dhukungan jangka panjang sing diwenehake dening pabrikan.
Saiki, aku nganyari firmware router Netgear, sing suwe banget ana ing dhaptar tugas sing ditundha, supaya ora bisa ditindakake "ing omah pandhe wesi ..."
Cathetan: Dhaptar distribusi rinci babagan GNU / Linux sing asline ngemot kerentanan saka PHP ing eksploitasi virus iki kasedhiya ing ngisor iki link.