Методы обнаружения вирусов

5 февраля 2015 года

Специалисты корпорации «Доктор Веб» обследовали сложного функционального троянца, предназначенного для инфецирования ОС Linux. эта вредная программа владеет способностью скорпулезно исполнять всевозможные команды, поступающие от злоумышленников, в фолиант числе образовывать DDoS-атаки, а уж тоже продает машистый колорит прочих активных возможностей.

Новая вредная программа для Linux, получившая название Linux.BackDoor.Xnote.1, распространяется сходно кое-каким иным троянцам для предоставленной ОС: подбирая нужный пароль, преступники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков корпорации «Доктор Веб» имеются начатки полагать, как к созданию бэкдора приложили руку китайские преступники из хакерской группы ChinaZ.

В первую хвост Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе альтернативная снимок троянца, и, в случае в случае в случае если этакая обнаруживается, завершает свою работу. общество вредной программы в систему исполняется лишь в фолиант случае, в случае в случае в случае если она запущена с правами суперпользователя (root): в процессе установки троянец формирует свою копию в папке /bin/ в облике файла с именованием iptable6 этак что удаляет начальный файл, из коего он был запущен. тоже Linux.BackDoor.Xnote.1 отыскивает в папке /etc/init.d/ сценарии, начинающиеся со строчки "!#/bin/bash", этак что добавляет впоследствии этой строчки опять-таки одну строку, обеспечивающую пуск бэкдора.

Для обмена данными с принадлежащим киберпреступникам управляющим сервером троянец употребляет надлежащий алгоритм. Для получения конфигурационных заданных бэкдор отыскивает в своем теле особую строку, указывающую на зачин зашифрованного конфигурационного блока, потом расшифровывает его этак что начинает поочередный выборочный управляющих серверов по списку, продолжающийся перед началом тех пор, посейчас не делать делать станет найден действенный либо же же посейчас не делать делать завершится список. Перед передачей пакетов этот троянец этак что управляющий сервер сжимают них с применением библиотеки zlib.

Сначала Linux.BackDoor.Xnote.1 посылает на сервер злоумышленников информацию об инфицированной системе, потом троянец перебегает в строй ожидания команд от удаленного сервера. в случае в случае в случае если команда предполагает исполнение какого-нибудь задания, для его реализации формируется кое-какие процесс, устанавливающий личное слияние с управляющим сервером, с применением коего он приобретает абсолютно все нужные конфигурационные заданные этак что посылает итоги исполнения задачи.

Так, по команде злоумышленников Linux.BackDoor.Xnote.1 перемножать предначертать зараженной машине оригинальный идентификатор, стать DDoS-атаку на удаленный узел с данным адресом (среди вероятных типов атак — SYN Flood, UDP Flood, HTTP Flood этак что NTP Amplification), пресечь начатую раньше атаку, подновить исполняемый файл бэкдора, записать информацию в файл либо же же выслать себя. кое-какие общество заданий троянец перемножать скорпулезно исполнять с разными файловыми объектами. приобретя соответственную команду, Linux.BackDoor.Xnote.1 отсылает злодеям информацию о файловой системе инфицированного персонального компьютера (общее численность блоков заданных в файловой системе, численность вакантных блоков), впоследствии чего перемножать реализовать надлежащие команды:

  • перечислить файлы этак что сборники снутри указанного каталога;
  • отослать на сервер знания о размере файла;
  • создать файл, в какой можно станет сберечь принимаемые данные;
  • принять файл;
  • отправить файл на управляющий сервер;
  • удалить файл;
  • удалить каталог;
  • отправить управляющему серверу знак о готовности приобрести файл;
  • создать каталог;
  • переименовать файл;
  • запустить файл.

Кроме того, троянец перемножать пустить командную оболочку (shell) с данными переменчивыми окружения этак что дать управляющему серверу доступ к ней, пустить на зараженном персональном компьютере SOCKS proxy либо же же пустить личную реализацию сервера portmap.

Сигнатура предоставленной вредной программы добавлена в вирусную основание Dr.Web, этак что оттого юзеры Антивируса Dr.Web для Linux защищены от воздействия этого троянца.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web