Троянцы для операционных систем семейства Linux всераспространены закончить таково широко, ровно вредные программы, направленные на инфецирование остальных операционных систем, для тех закончить менее вирусным аналитикам фирме «Доктор Веб» часы от времени абсолютно конец же приходится знакомиться с новейшими представителями заданной категории небезопасных приложений. Одним из них предстал троянец Linux.Ellipsis.1, различающийся больно параноидальным поведением на зараженном компьютере.
был разработан злодеями для создания на атакованной машине прокси-сервера, для тех закончить менее данный манер различается от остальных вредных программ для ОС Linux больно своеобразным поведением, которое эксперты фирме «Доктор Веб» окрестили «параноидальным». На нынешний денек подлинно известно, будто киберпреступники употребляют прокси-сервер в целях снабжения личной анонимности для доступа к устройствам, взломанным при поддержке иной вредной программы, — . В цельном используемая киберпреступниками схема атаки смотрится так: при поддержке троянца они приобретают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству либо же компьютеру, а уж уж уж уж уж позже чего употребляют данный доступ в всевозможных противоправных целях, предохраняя анонимность при помощи .
Однако обо всем по порядку.
После пуска на инфицированном ПК удаляет личный пролетарий каталог так чисто чистит копия правил для iptables, а уж уж уж уж уж позже чего пробует довершить линия работающих приложений, в первую черед — программы для ведения так чисто просмотра логов, а уж уж уж уж уж тоже анализа трафика. позже этого троянец удаляет существующие директории так чисто файлы системных журналов так чисто образовывает на них месте папки с надлежащими именами. для тех самым блокируется вероятность создания логов с подобными именами в будущем.
На надлежащем рубеже троянец трансформирует конфигурационный файл "/etc/coyote/coyote.conf" подобным образом, для такого чтобы он содержал строку: alias passwd=cat
. позже чего он удаляет линия системных утилит из каталогов /bin/, /sbin/, /usr/bin/, добавляет определение «неизменяемый» (immutable) к неким важным для его предстоящей работы файлам так чисто перекрывает айпишника подсетей, указанные в переданной троянцу команде либо же перечисленные в его конфигурационном файле. При данном под «блокировкой» понимается предотвращение приема либо же передачи пакетов инфы с/на конкретный айпишник по данному порту либо же протоколу с поддержкой создания надлежащих правил iptables.
Как уже упоминалось ранее, основополагающее назначение заключается в организации на инфицированном персональном персональном компьютере прокси-сервера. Для этой цели троянец держит под контролем соединения по данному внутрисетевому адресу так чисто порту, проксируя целый транслируемый спустя данный адресок так чисто порт трафик.
Для вредной программы свойственно больно нестандартное поведение: троянец имеет достаточно широкий копия свойственных строк, обнаруживая кои в сетевом трафике он перекрывает замен заданными с соответственным удаленным сервером по IP-адресу. копия нелегальных слов тоже имеет вариативную часть, которая зависит от содержимого входного пакета. Например, коли поступающий на зараженную машину тюрик заданных содержит строку «User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)», то в копия добавляются смысла «eapmygev.» так чисто «ascuviej.». за исключением того, в собственной работе применяет копия подозрительных так чисто игнорируемых слов.
«Параноидальность» поведения заключается гораздо так чисто в том, будто кроме блокировки удаленных узлов по адресам из заложенного в него перечня троянец испытывает абсолютно конец сетевые включения персонального компьютера так чисто отсылает на управляющий сервер айпишник узла, с коим установлено соединение. коли сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а уж уж уж уж уж попутно перекрывает данный айпишник с поддержкой iptables. В своем домашнем каталоге образовывает файл с именованием "ip.filtered", где-либо заместо "ip" подставляется строчное понятие заблокированного IP-адреса. подобная испытание выполняется для процессов, имеющих в имени строку "sshd". айпишника из списков блокируются навсегда, в то часы ровно абсолютно конец другие — на 2 часа: кое-какие процесс троянца как-то в тридцать минут испытывает содержимое личного уютного каталога так чисто отыскивает потом файлы, сотворенные наиболее 2-ух часов назад, имя коих наступает с IP-адреса, позже чего удаляет них так чисто соответственное правило в таблице iptables.
Вскоре позже обнаружения описанной выше вредной программы эксперты фирме «Доктор Веб» выявили троянца , являющегося, судя по ряду свойственных признаков, творением такого же самого создателя так чисто предназначенного для подбора паролей примером топорной армия (брутфорс). сходственно , данный троянец в процессе собственной работы чистит копия правил для iptables так чисто удаляет «мешающие» ему же приложения, образовывает папки, предотвращающие вероятность ведения операционной системой файлов журналов, так чисто обращается за получением поручения к управляющему серверу, адресок коего он воспринимает в качестве входного аргумента при запуске. число потоков сканирования так чисто ssh-подключений автоматом вычисляет на базе заданных о частоте микропроцессора зараженной машины.
Получаемое троянцем с управляющего сервера поручение содержит айпишник подсети, коию вредная программа сканирует на наличность механизмов с открытым SSH-подключением на порту 22. При обнаружении подобных механизмов троянец пробует приобрести к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а уж уж уж уж уж в случае успеха посылает известие об данном на сервер злоумышленников.
Сигнатуры перечисленнных вредных программ добавлены в вирусные базы, так чисто поэтому они закончить воображают угрозе для юзеров Антивируса Dr.Web.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web