Методы обнаружения вирусов

27 сентября 2016 года

Аналитики «Доктор Веб» изучали троянца Linux.Mirai, какой-нибудь в ход идет для организации DDoS-атак. наиболее ранние гибриды этой вредной программы уже были изучены, потому в освеженной версии Linux.Mirai знатоки сумели ввести симптомы прошлых версий так словно в том числе свойственные черты троянцев остальных семейств.

Первая версия вредной программы для Linux, которая позднее приобрела наименование Linux.Mirai, возникла опять в мае 2016 возраст так словно была добавлена в вирусные основы Dr.Web под именованием Linux.DDoS.87. настоящий троянец, талантливый ломить на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 так словно M68K, специализирован для организации атак на несогласие в обслуживании, то рубать DDoS-атак.

Linux.DDoS.87 содержит в своем коде линия ошибок, кои были устранены вирусописателями в последующих версиях. настоящий троянец имеет определенное схожесть с вредоносными программами семейства Linux.BackDoor.Fgt, об одном из представителей коего мы уже писали в ноябре 2014 года. впоследствии пуска на зараженном устройстве Linux.DDoS.87 отыскивает в памяти процессы остальных троянских программ так словно прекращает них выполнение. для такого дабы избежать случайной остановки своего процесса, троянец созидает в своей папке файл с именованием .shinigami так словно регулярно испытывает его наличие. потомки Linux.DDoS.87 старается ввести слияние со собственным управляющим сервером для получения последующих инструкций. На сервер отчаливает идентификатор, определяющий архитектуру инфицированного компьютера, так словно познания о MAC-адресе сетевой карты.

По команде злоумышленников Linux.DDoS.87 в силах скорпулезно надлежащие облики DDoS-атак:

  • UDP flood;
  • UDP flood over GRE;
  • DNS flood;
  • TCP flood (несколько разновидностей);
  • HTTP flood.

Максимальный срок постоянной работы Linux.DDoS.87 на инфицированной машине составляет одну неделю, по истечении коей троянец завершает личный процесс.

В начале августа 2016 возраст вирусные аналитики корпорации «Доктор Веб» заприметили новейшую версию этого небезопасного троянца, получившую наименование Linux.DDoS.89. данная вредная программа имеет огромное количество общих дьявол со своей предшественницей, но выслеживаются так словно свойственные отклонения от Linux.DDoS.87. Например, в освеженной версии поменялся режим действий при запуске троянца. приспособление обороны от выгрузки своего процесса тоже перетерпел изменения: ныне вредная программа перестать старается квалифицировать наличность особого файла в своей папке, а уж уж делает испытание на базе идентификатора процесса (PID). между отсылаемой Linux.DDoS.89 на управляющий сервер инфы отсутствует МАС-адрес сетевого адаптера. помимо того, из перечня поддерживаемых типов атак скрылся HTTP flood. В то же пора формат получаемых от злоумышленников команд остался прежним. помимо того, в Linux.DDoS.89 явился последний составляющую — telnet-сканнер, какой-нибудь раньше употреблялся во любых версиях Linux.BackDoor.Fgt. настоящий сканер специализирован для розыска в паутине уязвимых механизмов так словно несанкционированного включения к ним по протоколу telnet.

В конце августа – начале сентября была найдена опять одна освеженная версия этого троянца, получившая наименование Linux.Mirai. В кое-каких образчиках вредной программы возникла опция самоудаления. Троянец научился отсоединять предотвращающий зависание операционной системы дозорный таймер watchdog (чтобы вытурить перезагрузку устройства), а уж уж в список выполняемых типов атак возвратился HTTP flood. для тех перестать менее, Linux.Mirai во многом подобен на своих предшественников. Для уподобления на иллюстрации дальше показан часть кода Linux.DDoS.87 (слева) так словно Linux.Mirai (справа).

screen Linux.DDoS.87 #drweb screen Linux.Mirai #drweb

Некоторые ученые заявили в своих публикациях, словно коли Linux.Mirai удается заприметить в паутине уязвимое telnet-устройство, троянец делает зашитый в его кости bash-сценарий. подобное поведение подлинно свойственно для Linux.BackDoor.Fgt, но ни в одном из образцов Linux.Mirai, имеющихся в постановлении вирусных аналитиков «Доктор Веб», похожего сценария заприметить перестать удалось. Наши знатоки были бы признательны сотрудникам за предоставленные эталоны Linux.Mirai, в коих вирусописатели предусмотрели такую функцию.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web