ウィルスに感染した Linux システムというのはさほど珍しいものではない。現在、Linux はサーバのシェアを約70%獲得しており、標的にされることが多い。このため、 Linux を狙ったウィルスは仮想通貨が目的であったり、 Windows を狙ったものと大分形態が異なっている。
しかし、今回発見された「EvilGnome」(イービル・グノーム)は Linux デスクトップという非常に小さい的を狙ったマルウェアだ。しかも Gnome デスクトップ環境だけを対象にしたかなり特殊なものだ。
EvilGnome はスクリプトファイルからダウンロードされ、Gnome Extention として振る舞うが、その実は情報収集をして特定のサーバにアップロードを行うマルウェアだ。
よくわからないまま野良のスクリプトや怪しいメールの添付ファイルをうっかり開かない限り感染することはない。それ以外には手動でネットからダウンロードしなければならない。
「EvilGnome」は「INTEZER」というマルウェアの解析を行っているセキュリティ会社が発見し名付けた。コードの中のコメントや通信しているDNSサーバ、ポートからこのウィルスはロシアのハッキンググループ「Gamaredon Group」が作成したものだと特定された。実装されているキーロガーを見る限り不完全なもので、正しく動かないらしい。このことから間違ってアップロードされたものではないかと推測されている。
EvilGnome の機能
このウィルスが何をするかというと、先程も述べたように未完成なキーロガーがあるのと、Xorg 経由でデスクトップのスクリーンショットを撮影したり、マイク勝手にオンにして音声を録音したり、PC上のファイルを転送したり、情報を盗み出すことにおいてあらゆることができる。
自己増殖する能力を持ち合わせていないので、特定の団体や個人を狙って作成されたものではないかとみられている。
「gnome-shell-ext」「gnome-shell-ext.sh」「rtp.dat」「setup.sh」というファイルから構成されている。インストールされる場所は ~./cache 内。毎分 crontab に gnome-shell-ext.sh を実行するよう登録する。
また、ネットからモジュールをダウンロードして新たな機能を追加できるようにできている。
除去方法
駆除の仕方については Sophos のブログで掲載してくれている。
1. gnome-shell-ext というプロセスを検索して見つかったら、 kill -9 でプロセスを終了させる。
2. crontab 内 0-59 * * * * /.cache/gnome-software/gnome-shell-extensions/gnome-shell-ext.sh のようなエントリを削除する。
3. ~/.cache 内の gnome-shell-ext ファイルを削除する。
ご覧のとおり、感染経路は極めて限定的だが心当たりがあるならば怪しいプロセスが走っていないか確認しよう。
Photo by Sarah Brink on Unsplash
おわり
コメント