Специалисты корпорации «Доктор Веб» изучали рискованную троянскую программу, могущую инфицировать роутеры с архитектурой ARM, MIPS приблизительно словно PowerPC, работающие под управлением ОС Linux. Троянец приобрел прозвание Linux.PNScan.1. С поддержкой предоставленной вредной программы приблизительно словно прочих загружаемых ею на атакованный маршрутизатор небезопасных приложений преступники воплотят в жизнь взлом систем управления реляционными базами заданных PHPMyAdmin, а уж уж уж уж уж уж уж уж уж тоже подбор логинов приблизительно словно паролей для несанкционированного доступа по протоколу SSH к всевозможным устройствам приблизительно словно серверам.
Механизм распространения троянца довольно своеобразен: вирусные аналитики корпорации «Доктор Веб» предполагают, словно первоначально он устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с применением уязвимости shellshock способом пуска сценария с надлежащими параметрами, а уж уж уж уж уж уж уж уж уж потом его загружают приблизительно словно ставят на атакованные роутеры троянцы семейства , которые, в свою очередь, распространяются с применением самого . единым предназначением появляется взлом роутера приблизительно словно загрузка на него вредного скрипта, который-нибудь устанавливает на маршрутизатор бэкдоры, собранные в соответствии с применяемой роутером архитектурой, — ARM, MIPS или же PowerPC. коли же с применением уязвимости shellshock злодеям удастся взломать комп с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора приблизительно словно на эдакий случай.
При запуске имеют все шансы употребляться входные параметры, определяющие спектр айпишников для дальнейшего сканирования, а уж уж уж уж уж уж уж уж уж тоже субъект атаки. При проведении атак имеют все шансы употребляться RCE-уязвимости с целью пуска соответственного sh-сценария: так, для роутеров изготовления корпорации Linksys используется нападение на уязвимость в протоколе HNAP (Home Network Administration Protocol) приблизительно словно уязвимость CVE-2013-2678, при конкретно в данном с целью авторизации троянец пробует поджать хитросплетение логина приблизительно словно пароля по особому словарю. закончить считая того, интенсивно пользуется уязвимость ShellShock (CVE-2014-6271) приблизительно словно уязвимость в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Загружаемые троянцем вредные приложения детектируются антивирусным ПО Dr.Web насколько приблизительно словно . заданные вредные программы регистрируют себя в перечне автозагрузки атакованного маршрутизатора, в последствии чего, выбрав из перечня адресок управляющего сервера, включаются к нему с применением протокола IRC. Это — функциональные бэкдоры, могущие воплотить в жизнь DDoS-атаки всевозможных типов (в книга числе ACK Flood, SYN Flood ,UDP Flood), а уж уж уж уж уж уж уж уж уж тоже исполнять поступающие от злоумышленников команды. Одной из подобных команд служит предписание загрузки утилиты , с применением коей исполняется взлом административных панелей систем управления реляционными базами заданных PHPMyAdmin. В процессе пуска данный скрипт приобретает спектр айпишников приблизительно словно пара файла, в одном из коих находится лексика для подбора пары login:password, а уж уж уж уж уж уж уж уж уж в альтернативном — дорога к административной панели PHPMyAdmin.
С применением команд, отдаваемых злодеями инфицированным роутерам, распространяется приблизительно словно троянец , тоже предназначенный для организации DDoS-атак приблизительно словно даровитый исполнять иные вредные функции. данный бэкдор владеет машистым функционалом по подбору паролей для несанкционированного доступа к удаленным узлам по протоколу SSH. В случае успеха этой операции в зависимости от своего рода атаки на скомпрометированном устройстве или же делает сценарий для загрузки бэкдора приблизительно словно , или же коллекционирует информацию об ОС устройства приблизительно словно ориентирует ее злоумышленникам. на техническом уровне упомянутые бэкдоры семейства имеют все шансы употребляться для доставки жертвам каких бы то ни было троянских программ.
Вскоре эксперты корпорации «Доктор Веб» нашли новенькую трансформацию заданного троянца, добавленную в основы под именованием . В этой версии вредной программы акцент был изготовлен закончить на эксплуатацию уязвимостей, а уж уж уж уж уж уж уж уж уж на приобретение несанкционированного доступа к удаленным устройствам, на коих могут быть использованы нормальные пароли. Троянец генерирует перечень айпишников приблизительно словно пробует объединиться с ними по протоколу SSH, употребляя хитросплетение логина приблизительно словно пароля root;root; admin;admin; или же ubnt;ubnt. В случае успеха он помещает в папку "/tmp/.xs/" атакованного устройства комплект своих файлов (в зависимости от модели скомпрометированного устройства есть наборы файлов для архитектур ARM, MIPS, MIPSEL, x86) приблизительно словно запускает их. временами вновь опрашивает устройства по списку, и, коли они оказались вылеченными, заражает них снова.
Также на применяемом злодеями сервере вирусные аналитики корпорации «Доктор Веб» нашли иные вредные программы, посреди них — троянец , предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а уж уж уж уж уж уж уж уж уж тоже использующих ПО для организации интернет-магазина osCommerce. опять один-одинешенек троянец, обнаруженный после же, приобрел прозвание — он специализирован для розыска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а уж уж уж уж уж уж уж уж уж тоже использующих ПО для организации интернет-магазинов Zen Cart приблизительно словно osCommerce. Взломанные киберпреступниками веб-сайты применялось в качестве прокси-серверов, а уж уж уж уж уж уж уж уж уж тоже для распространения используемых в атаках инструментов. опять одна обнаруженная аналитиками на принадлежащем злодеям сервере программа специализирована для взлома серверов SMTP с применением способа топорной армия (брутфорс), она приобрела наименование . закончить считая нее после же была обнаружена программа для массовой рассылки спама , которая использовалась злодеями для отправки фишинговых извещений якобы от имени интернациональной платежной системы VISA.
Всего вирусным аналитикам корпорации «Доктор Веб» понятно о 1439 случаях инфецирования механизмов с применением перечисленных выше инструментов, при конкретно в данном в 649 случаях выявлено географическое состояние инфицированных устройств. максимальное них численность располагается на территории Японии, несколько все меньше – в Германии, USA приблизительно словно Тайвани. Распространение взломанных злодеями механизмов по странам мира показано на надлежащей иллюстрации:
Сигнатуры заданных вредных программ добавлены в вирусные основы Антивируса Dr.Web для Linux.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web