Появление новеньких троянцев-бэкдоров, могущих скорпулезно исполнять команды злоумышленников так будто давать вероятность удаленного управления зараженным компьютером, завсегда появляется весомым событием в сфере информационной безопасности. для тех более, коли похожие вредные программы специализированы для операционных систем семейства Linux. В апреле вирусные аналитики фирмы «Доктор Веб» нашли безотлагательно немного схожих троянцев, получивших наименования , так будто соответственно.
Первым звеном в цепочке инфецирования появляется ELF-файл, детектируемый Антивирусом Dr.Web под именованием . Примечательно, будто первоначально это приложение предопределено для организации одной из видов атак на удаленные узлы способом массовой отправки на данный адресок UDP-пакетов. — это «троянизированная» версия упомянутой программы. возможная жертва независимо загружает так будто запускает на своем персональном персональном компьютере данную утилиту, которая при загрузке просит у юзера дать ей же привилегии root, — без этого она отрешается работать. должно отметить, будто похожие программы-«флудеры» часто реализуют добавочные сокрытые опции – например, имеют абсолютно баста шансы загружать из веба прочие небезопасные программы. В конкретно в этом отношении закончить появляется исключением так будто .
Если приобретает root-полномочия, он скачивает с сервера злоумышленников так будто запускает иной скрипт – . данный сценарий загружает главнейший модуль бэкдора , предохраняет его под именованием /lib/.socket1 или же же /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именованием rc.local так будто настраивает задачку самодействующего пуска троянца в cron. кроме этого в процессе инсталляции вредной программы очищается содержимое iptables.
После пуска расшифровывает хранящийся в его теле ассоциация конфигурационных данных, содержащих нужную для его работы информацию, так будто посылает на сервер знания об инфицированном компьютере. далее этого он запускает тройка независящих потока. В первом из них бэкдор применяет протокол HTTP. Троянец отсылает на управляющий сервер известие о том, будто он запущен, приобретает отправляться для шифрования сообщений, заданные о сервере, на какой должно отправлять запросы, так будто номер порта. далее этого с конкретной периодичностью посылает на данный сервер запросы, в отзвук на коие ему же возможно приткнуться какая-либо команда. Предположительно, данный устройство возможно быть использован для самообновления вредной программы. абсолютно баста поступающие директивы зашифрованы, так будто троянец расшифровывает них с поддержкой сгенерированного им же же ключа.
Во втором потоке тоже ждет получения от сервера управляющих команд, только только по протоколу UDP. В третьем потоке троянец посылает на управляющий сервер с данным перерывом времени конкретную дейтограмму, чтоб сообщить, будто он абсолютно баста тоже работает.
Среди команд, коие в силах скорпулезно исполнять , эксперты выявили веление на непрерывную отправку данному удаленному узлу всевозможных запросов (флуд), реализация DDoS-атак, исполнение произвольных команд на зараженном устройстве. тоже в силах по команде сканировать порты в данном спектре IP-адресов, возможно бросать указанные злоумышленником файлы, послать им же же какой файл, а уж тоже скорпулезно исполнять прочие задачи. Вирусные аналитики фирмы «Доктор Веб» отмечают, будто данный троянец, по всей видимости, располагаться в процессе функциональной разработки — его новейшие гибриды возникают с завидной регулярностью.
Троянцы так будто появляются усовершенствованными версиями бэкдора так будто различаются от него только некими деталями — например, именем, под коим вредная программа сберегается в системе, объемом отсылаемой на управляющий сервер инфы о зараженной машине или же же набором выполняемых команд. абсолютно баста эти вредные программы удачно детектируются Антивирусом Dr.Web для Linux так будто отчего закончить воображают угрозе для наших пользователей.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости