Вирусные аналитики фирмы «Доктор Веб» изучили новенький эталон троянца-бэкдора, представляющего угроза для операционных систем семейства Linux. По задумке создателей этой вредной программы она обязана владеть ужасно машистым эдак что массивным набором возможностей, но на нынешний пора вдали закончить баста ее опции ишачят надлежащим образом.
Данный бэкдор, получивший название , имеет скорее всего китайское происхождение. По всей видимости, разработчики вначале старались запрячь в него достаточно широкий комплект функций — менеджера файловой системы, троянца для проведения DDoS-атак, прокси-сервера эдак что т. д., но на практике вдали закончить баста эти полномочия реализованы в уверенностью мере. больше того: начальные составляющие бэкдора были сотворены с учетом кроссплатформенности, то кушать подобным образом, дабы исполняемый файл можно было созвать что для архитектуры Linux, эдак так что для Windows. Однако, ведь разработчики отнеслись к этой задачке закончить чрезмерно ответственно, в дизассемблированном коде троянца видятся эдак что решительно несуразные конструкции, закончить имеющие к Linux ни малейшего отношения.
При запуске инспектирует присутствие в папке, из коей он был запущен, конфигурационного файла, содержащего нужные для его работы параметры. В конкретно в конкретно в этом файле задаются трояк адреса управляющих серверов бэкдора, но применяется им же едва один, в то пора что двойка прочих появляются резервными. Конфигурационный файл зашифрован с применением метода Base64. При запуске пробует зарегистрироваться на атакованном персональном компьютере в качестве беса (системной службы), а уж в случае если это закончить удается, бэкдор прекращает свою работу.
После удачного пуска троянец создаёт эдак что отсылает на управляющий сервер сверток с информацией об инфицированной системе, при конкретно в конкретно в этом целый трафик обмена заданными меж бэкдором эдак что удаленным командным центром сдавливается с применением метода LZO эдак что шифруется методом Blowfish. всякий сверток тоже снабжается контрольной суммой начальных заданных для определения цельности приобретенной инфы на принимающей стороне.
После этого перебегает в порядок ожидания входящих команд, между коих должно наблюсти директивы начатки DDoS-атаки, пуска SOCKS proxy-сервера, пуска указанного в пришедшей команде приложения, перезагрузки или выключения компьютера. баста другие команды или игнорирует, или возделывает некорректно. Троянец в силах делать последующие типы DDoS-атак:
SYN Flood
HTTP Flood (POST/GET запросы)
ICMP Flood
TCP Flood
UDP Flood
Сигнатура этого бэкдора добавлена в вирусные основы Dr.Web, соответственно юзеры Антивируса Dr.Web для Linux защищены от деяния предоставленной вредной программы.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web