Специалисты фирмы «Доктор Веб» изучили небезопасную троянскую программу, могущую инфицировать роутеры с архитектурой ARM, MIPS примерно словно PowerPC, работающие под управлением ОС Linux. Троянец приобрел заглавие Linux.PNScan.1. С поддержкой предоставленной вредной программы примерно словно иных загружаемых ею на атакованный маршрутизатор коварных приложений преступники воплотят взлом систем управления реляционными базами заданных PHPMyAdmin, а уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже подбор логинов примерно словно паролей для несанкционированного доступа по протоколу SSH к разным устройствам примерно словно серверам.
Механизм распространения троянца довольно своеобразен: вирусные аналитики фирмы «Доктор Веб» предполагают, словно первоначально он устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с применением уязвимости shellshock способом пуска сценария с надлежащими параметрами, а уж уж уж уж уж уж уж уж уж позже его загружают примерно словно ставят на атакованные роутеры троянцы семейства , которые, в свою очередь, распространяются с применением самого . единым предназначением появляется взлом роутера примерно словно загрузка на него вредного скрипта, какой устанавливает на маршрутизатор бэкдоры, собранные в соответствии с применяемой роутером архитектурой, — ARM, MIPS или же же PowerPC. коли же с применением уязвимости shellshock злодеям удастся взломать персональный компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора примерно словно на экий случай.
При запуске используются входные параметры, определяющие спектр айпишников для дальнейшего сканирования, а уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже фигура атаки. При проведении атак используются RCE-уязвимости с целью пуска соответственного sh-сценария: так, для роутеров изготовления фирмы Linksys используется штурм на уязвимость в протоколе HNAP (Home Network Administration Protocol) примерно словно уязвимость CVE-2013-2678, при конкретно в данном с целью авторизации троянец старается выбрать хитросплетение логина примерно словно пароля по особому словарю. помимо того, деятельно применяет уязвимость ShellShock (CVE-2014-6271) примерно словно уязвимость в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Загружаемые троянцем вредные приложения детектируются антивирусным ПО Dr.Web словно примерно словно . заданные вредные программы регистрируют себя в перечне автозагрузки атакованного маршрутизатора, далее чего, выбрав из перечня адресок управляющего сервера, включаются к нему с применением протокола IRC. Это — функциональные бэкдоры, могущие воплотить DDoS-атаки всевозможных типов (в книжка числе ACK Flood, SYN Flood ,UDP Flood), а уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже исполнять поступающие от злоумышленников команды. Одной из подобных команд служит установка загрузки утилиты , с применением коей исполняется взлом административных панелей систем управления реляционными базами заданных PHPMyAdmin. В процессе пуска данный скрипт приобретает спектр айпишников примерно словно 2 файла, в одном из коих находится лексика для подбора пары login:password, а уж уж уж уж уж уж уж уж уж в альтернативном — колея к административной панели PHPMyAdmin.
С применением команд, отдаваемых злодеями инфицированным роутерам, распространяется примерно словно троянец , а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже предназначенный для организации DDoS-атак примерно словно талантливый исполнять остальные вредные функции. данный бэкдор владеет машистым функционалом по подбору паролей для несанкционированного доступа к удаленным узлам по протоколу SSH. В случае успеха этой операции в зависимости от своего рода атаки на скомпрометированном устройстве или же делает сценарий для загрузки бэкдора примерно словно , или же коллекционирует информацию об ОС устройства примерно словно ориентирует ее злоумышленникам. на техническом уровне упомянутые бэкдоры семейства имеют все шансы быть использован для доставки жертвам каких бы то ни было троянских программ.
Вскоре эксперты фирмы «Доктор Веб» нашли новенькую трансформацию предоставленного троянца, добавленную в основы под именованием . В этой версии вредной программы акцент был изготовлен не делать на эксплуатацию уязвимостей, а уж уж уж уж уж уж уж уж уж на приобретение несанкционированного доступа к удаленным устройствам, на коих используются нормальные пароли. Троянец генерирует перечень айпишников примерно словно старается объединиться с ними по протоколу SSH, применяя хитросплетение логина примерно словно пароля root;root; admin;admin; или же же ubnt;ubnt. В случае успеха он помещает в папку "/tmp/.xs/" атакованного устройства комплект своих файлов (в зависимости от модели скомпрометированного устройства есть наборы файлов для архитектур ARM, MIPS, MIPSEL, x86) примерно словно запускает их. временами возобновил опрашивает устройства по списку, и, коли они оказались вылеченными, заражает них снова.
Также на применяемом злодеями сервере вирусные аналитики фирмы «Доктор Веб» нашли остальные вредные программы, посреди них — троянец , предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже использующих ПО для организации интернет-магазина osCommerce. гораздо раз троянец, обнаруженный далее же, приобрел заглавие — он специализирован для розыска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже использующих ПО для организации интернет-магазинов Zen Cart примерно словно osCommerce. Взломанные киберпреступниками веб-сайты применялось в качестве прокси-серверов, а уж уж уж уж уж уж уж уж уж а уж уж уж уж уж уж уж уж а уж уж уж уж уж уж тоже для распространения используемых в атаках инструментов. гораздо одна обнаруженная аналитиками на принадлежащем злодеям сервере программа специализирована для взлома серверов SMTP с применением способа топорной войско (брутфорс), она приобрела заглавие . помимо нее далее же была обнаружена программа для массовой рассылки спама , которая использовалась злодеями для отправки фишинговых извещений якобы от имени интернациональной платежной системы VISA.
Всего вирусным аналитикам фирмы «Доктор Веб» общеизвестно о 1439 случаях инфецирования механизмов с применением перечисленных выше инструментов, при конкретно в данном в 649 случаях выявлено географическое поза инфицированных устройств. максимальное них численность располагается на территории Японии, маленько все меньше – в Германии, USA примерно словно Тайване. Распространение взломанных злодеями механизмов по странам мира показано на надлежащей иллюстрации:
Сигнатуры заданных вредных программ добавлены в вирусные основы Антивируса Dr.Web для Linux.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web