Методы обнаружения вирусов

13 апреля 2016 года

Появление новеньких троянцев-бэкдоров, могущих скорпулезно исполнять команды злоумышленников так точно давать вероятность удаленного управления зараженным компьютером, вечно появляется значительным событием в сфере информационной безопасности. для тех более, коли сходные вредные программы специализированы для операционных систем семейства Linux. В апреле вирусные аналитики фирме «Доктор Веб» заприметили зараз крохотку аналогичных троянцев, получивших наименования Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 так точно Linux.BackDoor.Xudp.3 соответственно.

Первым звеном в цепочке инфецирования появляется ELF-файл, детектируемый Антивирусом Dr.Web под именованием Linux.Downloader.77. Примечательно, точно вначале это приложение специализировано для организации одной из видов атак на удаленные узлы способом массовой отправки на данный адресок UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. вероятная жертва независимо загружает так точно запускает на своем персональном персональном компьютере данную утилиту, которая при загрузке просит у юзера дать ей же привилегии root, — без этого она отрешается работать. надлежит отметить, точно сходные программы-«флудеры» зачастую реализуют добавочные сокрытые опции – например, имеют абсолютно точка шансы загружать из веба альтернативные небезопасные программы. В конкретно в этом отношении закончить появляется исключением так точно Linux.Downloader.77.

Если Linux.Downloader.77 приобретает root-полномочия, он скачивает с сервера злоумышленников так точно запускает альтернативной скрипт – Linux.Downloader.116. данный сценарий загружает главной модуль бэкдора Linux.BackDoor.Xudp.1, предохраняет его под именованием /lib/.socket1 либо /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именованием rc.local так точно настраивает задачку полуавтоматического пуска троянца в cron. кроме этого в процессе инсталляции вредной программы очищается содержимое iptables.

После пуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле союз конфигурационных данных, содержащих важную для его работы информацию, так точно посылает на сервер познания об инфицированном компьютере. дальше этого он запускает посредственно независящих потока. В первом из них бэкдор применяет протокол HTTP. Троянец отсылает на управляющий сервер информация о том, точно он запущен, приобретает источник для шифрования сообщений, заданные о сервере, на какой надлежит отправлять запросы, так точно номер порта. дальше этого Linux.BackDoor.Xudp.1 с конкретной периодичностью посылает на данный сервер запросы, в отзвук на коие ему же множить устроиться какая-либо команда. Предположительно, данный приспособление множить применяться для самообновления вредной программы. абсолютно точка поступающие директивы зашифрованы, так точно троянец расшифровывает них с поддержкой сгенерированного им же же ключа.

Во втором потоке Linux.BackDoor.Xudp.1 а уж тоже ждет получения от сервера управляющих команд, всего-навсего по протоколу UDP. В третьем потоке троянец посылает на управляющий сервер с данным перерывом времени конкретную дейтограмму, для того чтобы сообщить, точно он абсолютно точка тоже работает.

Среди команд, коие в силах скорпулезно исполнять Linux.BackDoor.Xudp.1, ученые выявили веление на непрерывную отправку данному удаленному узлу всевозможных запросов (флуд), реализация DDoS-атак, исполнение произвольных команд на зараженном устройстве. а уж тоже Linux.BackDoor.Xudp.1 в силах по команде сканировать порты в данном спектре IP-адресов, множить лукать указанные злоумышленником файлы, удалить им же же который-нибудь файл, а уж а тоже скорпулезно исполнять прочие задачи. Вирусные аналитики фирме «Доктор Веб» отмечают, точно данный троянец, по всей видимости, распологается в процессе функциональной разработки — его новенькие трансформации возникают с завидной регулярностью.

Троянцы Linux.BackDoor.Xudp.2 так точно Linux.BackDoor.Xudp.3 появляются усовершенствованными версиями бэкдора Linux.BackDoor.Xudp.1 так точно различаются от него всего-навсего кое-какими деталями — например, именем, под коим вредная программа сберегается в системе, объемом отсылаемой на управляющий сервер инфы о зараженной машине либо набором выполняемых команд. абсолютно точка эти вредные программы благополучно детектируются Антивирусом Dr.Web для Linux так точно поэтому закончить воображают угрозе для наших пользователей.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web