Вредоносные программы для операционных систем семейства Linux закончить столько всераспространены по уподоблению с Windows-троянцами. для тех закончить перестать делать делать более они воображают нешуточную угрозу для пользователей. знатоки «Доктор Веб» обследовали сложного многокомпонентного троянца, могущего заражать устройства под управлением Linux с разной аппаратной архитектурой.
Первые атаки с применением троянца, вошедшего в дом , знатоки «Доктор Веб» фиксировали ещё в декабре 2016 года. шабаш представители семейства напечатаны на скриптовом языке Lua. Троянец постоянно эволюционирует с ноября 2016 года, столь чисто новенькие версии возникают с завидной регулярностью. вредная программа воображает собой комплект из 31 Lua-сценария столь чисто 2-ух доборных модулей, всякий из коих делает личную функцию. Троянец в силах заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – прочими словами, закончить едва-лишь компьютеры, однако столь чисто широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер столь чисто иных «умных» девайсов. При данном специалистам «Доктор Веб» закончить получилось выразить в «дикой природе» компоновки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет измерять данную архитектуру, однако действительно существующих модулей для нее закончить выявлено.
Все входящие в состав сценарии взаимосвязаны. Троянец генерирует перечень IP-адресов, коие полноте атаковать, а уж потому старается объединиться с удаленными устройствами по созданному перечню столь чисто авторизоваться методом перебора логинов столь чисто паролей по словарю. Скрипты, с применением коих исполняется взлом сетевых узлов, умеют измерять архитектуру атакуемого устройства и, помимо того, имеют особенный приспособление для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С поддержкой «ханипотов» знатоки по информационной безопасности учат способа атак столь чисто инструментарий злоумышленников. При данном атаки производятся как же по протоколу Telnet, столь так чисто средством SSH — за работу с каждым из этих протоколов отвечает единичный Lua-сценарий. в случае в случае если принять доступ к устройству удалось, вредный скрипт устанавливает на него троянца соответственной архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел перво-наперво загружается легкий модуль, который, запустившись, скачивает самого троянца, при нападению по протоколу SSH троянец загружается сразу.
Один из модулей воображает собой полновесный веб-сервер, работающий по протоколу HTTP. Сервер помножать сберечь на инфицированном устройстве столь чисто исполнить приложение, передать по запросу файл из собственной директории столь чисто говорить информацию о версии троянца. Отметим, чисто в майской версии преступники убрали функцию передачи заданных о зараженном устройстве.
разговаривает с управляющим сервером по протоколу HTTP, при данном вся передаваемая сообщение шифруется. Для розыска бодрых конфигурационных файлов столь чисто модулей применяется паутину P2P на базе протокола Bittorent DHT, подобного же, какой задействован в нормальных торрент-сетях. За данную функцию отвечает ещё одинехонек скрипт. При данном принимаемые столь чисто передаваемые сообщения проверяются на подлинность с поддержкой цифровой подписи. в случае в случае если P2P-сеть недоступна, единичный сценарий делает обновление с поддержкой иных зараженных узлов, закачивая свои файлы на скомпрометированные устройства по особому запросу. данный сценарий присутствовал едва-лишь в ранних версиях троянца.
Опасность для хозяев Linux-устройств заключается в том, чисто данный троянец практически появляется бэкдором, то лопать в силах делать поступающие от злоумышленников команды. помимо того, ранние версии этой вредной программы запускали на скомпрометированном устройстве прокси-сервер, какой преступники задействовали для анонимизации своих действий в Интернете.
Вирусные аналитики «Доктор Веб» собрали статистику об удивительных айпишниках устройств, зараженных . Географическое распределение этих адресов показано на надлежащей иллюстрации.
Специалистам «Доктор Веб» знаменито чуточку трансформаций , отличающихся набором функций столь чисто строительными особенностями. Антивирус Dr.Web детектирует шабаш существующие на нынешний денек эталоны .
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости