Специалисты фирме «Доктор Веб» обследовали сложного функционального троянца, предназначенного для инфецирования ОС Linux. эта вредная программа владеет способностью исполнять разные команды, поступающие от злоумышленников, в книжка числе формировать DDoS-атаки, а уж тоже продает машистый диапазон иных активных возможностей.
Новая вредная программа для Linux, получившая звание , распространяется подобно кое-каким иным троянцам для заданной ОС: подбирая нужный пароль, преступники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков фирме «Доктор Веб» имеются основы полагать, чисто к созданию бэкдора приложили руку китайские преступники из хакерской группы ChinaZ.
В первую черед проверяет, запущена ли в инфицированной системе иная снимок троянца, и, в случае в случае в случае если этакая обнаруживается, завершает свою работу. монтаж вредной программы в систему исполняется едва в книжка случае, в случае в случае в случае если она запущена с правами суперпользователя (root): в процессе установки троянец созидает свою копию в папке /bin/ в облике файла с именованием iptable6 этак что удаляет отправной файл, из коего он был запущен. тоже отыскивает в папке /etc/init.d/ сценарии, начинающиеся со строчки "!#/bin/bash", этак что добавляет впоследствии этой строчки опять-таки одну строку, обеспечивающую пуск бэкдора.
Для обмена данными с принадлежащим киберпреступникам управляющим сервером троянец применяет надлежащий алгоритм. Для получения конфигурационных заданных бэкдор отыскивает в своем теле особую строку, указывающую на почин зашифрованного конфигурационного блока, потом расшифровывает его этак что начинает поочередный выборочный управляющих серверов по списку, продолжающийся перед началом тех пор, пока что что закончить хватит найден деятельный либо пока что что закончить завершится список. Перед передачей пакетов этот троянец этак что управляющий сервер сжимают них с применением библиотеки zlib.
Сначала посылает на сервер злоумышленников информацию об инфицированной системе, потом троянец перебегает в строй ожидания команд от удаленного сервера. в случае в случае в случае если команда предполагает исполнение какого-нибудь задания, для его реализации образовывается кое-какие процесс, устанавливающий личное слияние с управляющим сервером, с применением коего он приобретает шабаш важные конфигурационные заданные этак что посылает итоги исполнения задачи.
Так, по команде злоумышленников множить определить зараженной машине редкостный идентификатор, взяться DDoS-атаку на удаленный узел с данным адресом (среди вероятных типов атак — SYN Flood, UDP Flood, HTTP Flood этак что NTP Amplification), порвать начатую прежде атаку, освежить исполняемый файл бэкдора, записать информацию в файл либо услать себя. кое-какие ассоциация заданий троянец множить исполнять с разными файловыми объектами. приобретя соответственную команду, отсылает злодеям информацию о файловой системе инфицированного персонального компьютера (общее численность блоков заданных в файловой системе, численность вакантных блоков), впоследствии чего множить исполнить последующие команды:
перечислить файлы этак что сборники снутри указанного каталога;
отослать на сервер знания о размере файла;
создать файл, в который-нибудь можно хватит оставить принимаемые данные;
принять файл;
отправить файл на управляющий сервер;
удалить файл;
удалить каталог;
отправить управляющему серверу знак о готовности обрести файл;
создать каталог;
переименовать файл;
запустить файл.
Кроме того, троянец множить забыть командную оболочку (shell) с данными переменчивыми окружения этак что дать управляющему серверу доступ к ней, забыть на зараженном персональном компьютере SOCKS proxy либо забыть личную реализацию сервера portmap.
Сигнатура заданной вредной программы добавлена в вирусную основу Dr.Web, этак что отчего юзеры Антивируса Dr.Web для Linux защищены от деяния этого троянца.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости