En zo te zien heeft de malware nog twee handicaps:
(1) de trojan wordt neergezet in de java.io.tmp directory en kan alleen werken als files in die directory standaard uitvoerrechten hebben (wat bij mij bijvoorbeeld al niet zo is);
Daar zou ik niet al te hard op rekenen, helaas.
Als voorbeeld:
$ ls -l
total 100
-rw-r--r-- 1 johan johan 97825 2012-05-31 16:52 minecraft.jar
Zoals je ziet is dat bestand niet uitvoerbaar. Echter kan je hem gewoon uitvoeren met
java -jar minecraft.jarMocht het verder nog uitmaken:
$ java -version
java version "1.6.0_20"
OpenJDK Runtime Environment (IcedTea6 1.9.13) (6b20-1.9.13-0ubuntu1~10.04.1)
OpenJDK 64-Bit Server VM (build 19.0-b09, mixed mode)
(2) de trojan wordt uitgevoerd met gewone gebruikersrechten, niet als root. Dan kan hij al zeer weinig. Zichzelf inschrijven in de startroutines van Linux is er bijvoorbeeld al niet bij.
Conclusie: alleen maar omdat een stuk malware succesvol is in Windows en claimt ook gevaarlijk te zijn voor Linux, wil nog niet zeggen dat dat dan ook waar is.
Als gewone gebruiker kan je genoeg schade aanrichten hoor. Delete ~/Music of ~/Pictures maar, dan heb je in veel gevallen al genoeg schade aangericht. Verder kan je ook het wachtwoordenbestand van Firefox of andere programma's uitlezen en naar "huis" sturen.
Nog vervelender is het toevoegen van je eigen key aan ~/.ssh/authorized_keys of een alias aanmaken voor sudo en gksudo die verwijst naar je eigen tooltje die wel een standaard wachtwoordprompt laat zien maar alles wat je invoert doorstuurt.
Met de eerdergenoemde autostart-functie van KDE (en andere DE's) kan je bij iedere opstart je trojan weer laten draaien, totdat er een root-exploit bekend wordt. Die voer je dan uit en je bent root...
Creatieve hackers kunnen vast wel meer leuke dingen verzinnen als ze eenmaal toegang hebben, dit zijn maar enkele voorbeelden.