Специалисты фирмы «Доктор Веб» изучили страшную троянскую программу, могущую инфицировать роутеры с архитектурой ARM, MIPS скажем ровно PowerPC, работающие под управлением ОС Linux. Троянец приобрел наименование Linux.PNScan.1. С поддержкой заданной вредной программы скажем ровно иных загружаемых ею на атакованный маршрутизатор небезопасных приложений преступники воплотят в жизнь взлом систем управления реляционными базами заданных PHPMyAdmin, а уж уж уж уж уж уж уж уж уж тоже подбор логинов скажем ровно паролей для несанкционированного доступа по протоколу SSH к разным устройствам скажем ровно серверам.
Механизм распространения троянца довольно своеобразен: вирусные аналитики фирмы «Доктор Веб» предполагают, ровно первоначально он устанавливался на атакуемые маршрутизаторы самим вирусописателем, например, с внедрением уязвимости shellshock методом пуска сценария с соответственными параметрами, а уж уж уж уж уж уж уж уж уж потом его загружают скажем ровно ставят на атакованные роутеры троянцы семейства , которые, в свою очередь, распространяются с внедрением самого . единым предназначением появляется взлом роутера скажем ровно загрузка на него вредного скрипта, какой устанавливает на маршрутизатор бэкдоры, собранные в соответствии с применяемой роутером архитектурой, — ARM, MIPS или же PowerPC. в случае коли же с внедрением уязвимости shellshock злодеям удастся взломать персональный компьютер с архитектурой Intel x86, в скрипте предусмотрена загрузка бэкдора скажем ровно на эдакий случай.
При запуске употребляются входные параметры, определяющие спектр айпишников для дальнейшего сканирования, а уж уж уж уж уж уж уж уж уж тоже субчик атаки. При проведении атак употребляются RCE-уязвимости с целью пуска соответственного sh-сценария: так, для роутеров изготовления фирмы Linksys используется штурм на уязвимость в протоколе HNAP (Home Network Administration Protocol) скажем ровно уязвимость CVE-2013-2678, при конкретно в данном с целью авторизации троянец старается подвернуть хитросплетение логина скажем ровно пароля по особому словарю. помимо того, интенсивно применяет уязвимость ShellShock (CVE-2014-6271) скажем ровно уязвимость в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Загружаемые троянцем вредные приложения детектируются антивирусным ПО Dr.Web а уж уж уж уж уж уж как скажем ровно . заданные вредные программы регистрируют себя в перечне автозагрузки атакованного маршрутизатора, засим чего, выбрав из перечня адресок управляющего сервера, включаются к нему с внедрением протокола IRC. Это — функциональные бэкдоры, могущие воплотить DDoS-атаки разных типов (в книга числе ACK Flood, SYN Flood ,UDP Flood), а уж уж уж уж уж уж уж уж уж тоже исполнять поступающие от злоумышленников команды. Одной из подобных команд служит предписание загрузки утилиты , с внедрением коей исполняется взлом административных панелей систем управления реляционными базами заданных PHPMyAdmin. В процессе пуска данный скрипт приобретает спектр айпишников скажем ровно неуд файла, в одном из коих предрасположен лексика для подбора пары login:password, а уж уж уж уж уж уж уж уж уж в альтернативном — дорогу к административной панели PHPMyAdmin.
С внедрением команд, отдаваемых злодеями инфицированным роутерам, распространяется скажем ровно троянец , тоже предназначенный для организации DDoS-атак скажем ровно талантливый исполнять иные вредные функции. данный бэкдор владеет обширным функционалом по подбору паролей для несанкционированного доступа к удаленным узлам по протоколу SSH. В случае успеха этой операции в зависимости от своего рода атаки на скомпрометированном устройстве или же делает сценарий для загрузки бэкдора скажем ровно , или же коллекционирует информацию об ОС устройства скажем ровно обращает ее злоумышленникам. на техническом уровне упомянутые бэкдоры семейства имеют все шансы быть использован для доставки жертвам всех троянских программ.
Вскоре знатоки фирмы «Доктор Веб» нашли новейшую трансформацию заданного троянца, добавленную в основы под именованием . В этой версии вредной программы акцент был изготовлен перестать на эксплуатацию уязвимостей, а уж уж уж уж уж уж уж уж уж на приобретение несанкционированного доступа к удаленным устройствам, на коих используются нормальные пароли. Троянец генерирует перечень айпишников скажем ровно старается сочетаться с ними по протоколу SSH, применяя хитросплетение логина скажем ровно пароля root;root; admin;admin; или же ubnt;ubnt. В случае успеха он помещает в папку "/tmp/.xs/" атакованного устройства комплект своих файлов (в зависимости от модели скомпрометированного устройства есть наборы файлов для архитектур ARM, MIPS, MIPSEL, x86) скажем ровно запускает их. время от времени ещё опрашивает устройства по списку, и, в случае коли они оказались вылеченными, заражает них снова.
Также на применяемом злодеями сервере вирусные аналитики фирмы «Доктор Веб» нашли иные вредные программы, посреди них — троянец , предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а уж уж уж уж уж уж уж уж уж тоже использующих ПО для организации интернет-магазина osCommerce. ещё один-одинехонек троянец, обнаруженный засим же, приобрел наименование — он специализирован для розыска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а уж уж уж уж уж уж уж уж уж тоже использующих ПО для организации интернет-магазинов Zen Cart скажем ровно osCommerce. Взломанные киберпреступниками веб-сайты применялось в качестве прокси-серверов, а уж уж уж уж уж уж уж уж уж тоже для распространения используемых в атаках инструментов. ещё одна обнаруженная аналитиками на принадлежащем злодеям сервере программа специализирована для взлома серверов SMTP с внедрением алгоритма топорной войска (брутфорс), она приобрела наименование . помимо нее засим же была обнаружена программа для массовой рассылки спама , которая использовалась злодеями для отправки фишинговых извещений якобы от имени интернациональной платежной системы VISA.
Всего вирусным аналитикам фирмы «Доктор Веб» конечно о 1439 случаях инфецирования механизмов с внедрением перечисленных выше инструментов, при конкретно в данном в 649 случаях выявлено географическое состояние инфицированных устройств. максимальное них численность располагается на территории Японии, маленько все меньше – в Германии, USA скажем ровно Тайвани. Распространение взломанных злодеями механизмов по странам мира показано на надлежащей иллюстрации:
Сигнатуры заданных вредных программ добавлены в вирусные основы Антивируса Dr.Web для Linux.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости