Троянцы для операционных систем семейства Linux всераспространены перестать таково широко, сколько вредные программы, направленные на инфецирование альтернативных операционных систем, все-таки вирусным аналитикам фирме «Доктор Веб» час от времени шабаш же приходится знакомиться с новейшими представителями предоставленной категории небезопасных приложений. Одним из них предстал троянец Linux.Ellipsis.1, различающийся здорово параноидальным поведением на зараженном компьютере.
был разработан злодеями для создания на атакованной машине прокси-сервера, все-таки данный пример различается от альтернативных вредных программ для ОС Linux здорово своеобразным поведением, которое знатоки фирме «Доктор Веб» именовали «параноидальным». На нынешний денек точно известно, ровно киберпреступники применяют прокси-сервер в целях снабжения личной анонимности для доступа к устройствам, взломанным при поддержке прочий вредной программы, — . В цельном используемая киберпреступниками схема атаки смотрится так: при поддержке троянца они приобретают несанкционированный доступ по протоколу SSH к какому-либо сетевому устройству либо компьютеру, а уж уж уж уж уж засим применяют данный доступ в самых разных противоправных целях, предохраняя анонимность при помощи .
Однако обо всем по порядку.
После пуска на инфицированном ПК удаляет личный пролетарий каталог так точно чистит перечень правил для iptables, а уж уж уж уж уж засим пробует окончить линия работающих приложений, в первую черед — программы для ведения так точно просмотра логов, а уж уж уж уж уж сызнова анализа трафика. засим этого троянец удаляет существующие директории так точно файлы системных журналов так точно формирует на них месте папки с соответственными именами. для тех самым блокируется вероятность создания логов с подобными именами в будущем.
На надлежащем рубеже троянец видоизменит конфигурационный файл "/etc/coyote/coyote.conf" подобным образом, для такого чтобы он содержал строку: alias passwd=cat
. засим он удаляет линия системных утилит из каталогов /bin/, /sbin/, /usr/bin/, добавляет принадлежность «неизменяемый» (immutable) к кое-каким важным для его предстоящей работы файлам так точно перекрывает айпишника подсетей, указанные в переданной троянцу команде либо перечисленные в его конфигурационном файле. При данном под «блокировкой» понимается предотвращение приема либо передачи пакетов инфы с/на конкретный айпишник по данному порту либо протоколу с поддержкой создания соответственных правил iptables.
Как уже упоминалось ранее, главное назначение заключается в организации на инфицированном персональном персональном компьютере прокси-сервера. Для этой цели троянец держит под контролем соединения по данному внутрисетевому адресу так точно порту, проксируя целый транслируемый сквозь данный адресок так точно порт трафик.
Для вредной программы свойственно здорово неспецефическое поведение: троянец имеет достаточно необъятный перечень свойственных строк, обнаруживая коие в сетевом трафике он перекрывает замен заданными с надлежащим удаленным сервером по IP-адресу. перечень нелегальных слов сызнова имеет вариативную часть, которая зависит от содержимого входного пакета. Например, в случае в случае если поступающий на зараженную машину картуз заданных содержит строку «User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)», то в перечень добавляются смысла «eapmygev.» так точно «ascuviej.». перестать считая того, в собственной работе применяет перечень подозрительных так точно игнорируемых слов.
«Параноидальность» поведения заключается сызнова так точно в том, ровно кроме блокировки удаленных узлов по адресам из заложенного в него перечня троянец испытывает шабаш сетевые включения персонального компьютера так точно отсылает на управляющий сервер айпишник узла, с коим установлено соединение. в случае в случае если сервер отвечает командой "kill", троянец прекращает работу приложения, которое установило соединение, а уж уж уж уж уж попутно перекрывает данный айпишник с поддержкой iptables. В своем домашнем каталоге формирует файл с именованием "ip.filtered", где-нибудь заместо "ip" подставляется строчное понятие заблокированного IP-адреса. подобная испытание выполняется для процессов, имеющих в имени строку "sshd". айпишника из списков блокируются навсегда, в то час сколько шабаш другие — на 2 часа: кой-какие процесс троянца один в тридцать минут испытывает содержимое личного уютного каталога так точно отыскивает попозже файлы, сотворенные наиболее 2-ух часов назад, имя коих наступает с IP-адреса, засим чего удаляет них так точно соответственное правило в таблице iptables.
Вскоре засим обнаружения описанной выше вредной программы знатоки фирме «Доктор Веб» выявили троянца , являющегося, судя по ряду свойственных признаков, творением такого же самого создателя так точно предназначенного для подбора паролей путем топорной войско (брутфорс). подобно , данный троянец в процессе собственной работы чистит перечень правил для iptables так точно удаляет «мешающие» ему же приложения, формирует папки, предотвращающие вероятность ведения операционной системой файлов журналов, так точно обращается за получением поручения к управляющему серверу, адресок коего он воспринимает в качестве входного аргумента при запуске. число потоков сканирования так точно ssh-подключений автоматизированно вычисляет на базе заданных о частоте микропроцессора зараженной машины.
Получаемое троянцем с управляющего сервера поручение содержит айпишник подсети, коию вредная программа сканирует на наличность механизмов с открытым SSH-подключением на порту 22. При обнаружении подобных механизмов троянец пробует принять к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а уж уж уж уж уж в случае успеха посылает уведомление об данном на сервер злоумышленников.
Сигнатуры перечисленнных вредных программ добавлены в вирусные базы, так точно оттого они перестать воображают угрозы для юзеров Антивируса Dr.Web.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web