Тайная добыча криптовалют с применением ресурсов персонального компьютера без ведома его хозяина — один-одинешенек из наиболее общераспространенных нынешнее методов преступного заработка. корпорация «Доктор Веб» рассказывает об обнаруженном относительно недавно майнере, могущем инфицировать устройства под управлением ОС Linux. данная вредная программа возможно заражать иные сетевые устройства так что выручать работающие в системе антивирусы.
Троянец, добавленный в вирусные основы Dr.Web под именованием , воображает собой мощный сценарий, напечатанный на языке командной оболочки sh так что содержащий наиболее 1000 строк кода. данная вредная программа состоит из нескольких компонентов. При запуске троянец испытывает доступность сервера, с коего он позднее скачивает иные модули, так что подыскивает на диске папку с правами на запись, в коию эти модули будут потом загружены. засим этого сценарий в прежде подобранную папку с именованием diskmanagerd так что вторично запускается в качестве демона. Для этого троянец пользуется утилиту nohup. коли та в системе отсутствует, он собственноручно загружает так что устанавливает картуз утилит coreutils, в какой в книжка числе заходит nohup.
В случае успешной инсталляции на приспособление вредный сценарий скачивает одну из версий троянца . Бэкдоры этого семейства дозволяют исполнять поступающие от злоумышленников команды так что провождать DDoS-атаки.
Установившись в системе, отыскивает конкурирующие майнеры так что при обнаружении завершает них процессы. коли закончить был запущен от имени суперпользователя (root), для увеличения своих привилегий в зараженной системе он пользуется комплект эксплойтов. Вирусные аналитики «Доктор Веб» выявили ровно вселенная двойка используемых эксплойта: это Linux.Exploit.CVE-2016-5195 (также славный под именованием DirtyCow) так что Linux.Exploit.CVE-2013-2094, при данном загруженные из веба исходники DirtyCow троянец компилирует явно на зараженной машине.
После этого вредная программа старается выкроить работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets так что xmirrord. В случае них обнаружения троянец закончить попросту завершает процесс антивируса, однако с поддержкой пакетных менеджеров удаляет его файлы так что директорию, в коей был установлен противовирусный продукт.
Затем индексирует себя в автозагрузке, засим чего скачивает так что запускает на инфицированном устройстве руткит. данный модуль тоже выполнен в облике сценария sh так что основан на начальном коде, какой прежде был размещен в вакантном доступе. между функций руткит-модуля можно подчеркнуть кражу вводимых юзером паролей команды su, сокрытие файлов в файловой системе, сетевых соединений так что запускаемых процессов.
Троянец коллекционирует информацию о сетевых узлах, к коим прежде подключались по протоколу ssh, так что пытается заразить их.
Выполнив шабаш эти действия, запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С перерывом в минутку троянец проверяет, запущен ли данный майнер, так что при необходимости автоматично перезапускает его. тоже он в непрерывном цикле соединяется с управляющим сервером так что скачивает оттуда обновления, коли они доступны.
, а уж тоже шабаш его составляющие удачно детектируются Антивирусом Dr.Web для Linux, посему закончить воображают угрозы для наших пользователей.
Полный снимок индикаторов компрометации можно взглянуть по гиперссылке .
#Linux #криптовалюты #майнинг #троянец
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web