Методы обнаружения вирусов

27 сентября 2016 года

Аналитики «Доктор Веб» изучали троянца Linux.Mirai, какой употребляется для организации DDoS-атак. наиболее ранние гибриды этой вредной программы уже были изучены, соответственно в освеженной версии Linux.Mirai эксперты сумели заметить симптомы прошлых версий так словно в том числе свойственные черты троянцев прочих семейств.

Первая версия вредной программы для Linux, которая позже приобрела заглавие Linux.Mirai, явилась ещё в мае 2016 возраст так словно была добавлена в вирусные основы Dr.Web под именованием Linux.DDoS.87. данный троянец, талантливый трубить на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 так словно M68K, специализирован для организации атак на несогласие в обслуживании, то трескать DDoS-атак.

Linux.DDoS.87 содержит в своем коде шеренга ошибок, кои были устранены вирусописателями в следующих версиях. данный троянец имеет определенное однообразие с вредоносными программами семейства Linux.BackDoor.Fgt, об одном из представителей коего мы уже писали в ноябре 2014 года. далее пуска на зараженном устройстве Linux.DDoS.87 отыскивает в памяти процессы прочих троянских программ так словно прекращает них выполнение. дабы избежать случайной остановки личного процесса, троянец формирует в личной папке файл с именованием .shinigami так словно регулярно испытывает его наличие. правнуки Linux.DDoS.87 старается ввести сплетение со собственным управляющим сервером для получения последующих инструкций. На сервер отчаливает идентификатор, определяющий архитектуру инфицированного компьютера, так словно знания о MAC-адресе сетевой карты.

По команде злоумышленников Linux.DDoS.87 в силах скорпулезно надлежащие облики DDoS-атак:

  • UDP flood;
  • UDP flood over GRE;
  • DNS flood;
  • TCP flood (несколько разновидностей);
  • HTTP flood.

Максимальный срок постоянной работы Linux.DDoS.87 на инфицированной машине составляет одну неделю, по истечении коей троянец завершает личный процесс.

В начале августа 2016 возраст вирусные аналитики фирмы «Доктор Веб» заприметили новенькую версию этого небезопасного троянца, получившую заглавие Linux.DDoS.89. данная вредная программа имеет огромное количество общих бес со личной предшественницей, все-таки выслеживаются так словно свойственные отклонения от Linux.DDoS.87. Например, в освеженной версии поменялся построение действий при запуске троянца. приспособление обороны от выгрузки личного процесса а уж уж также перетерпел изменения: нынче вредная программа перестать старается устроить присутствие особого файла в личной папке, а уж уж делает испытание на базе идентификатора процесса (PID). между отсылаемой Linux.DDoS.89 на управляющий сервер инфы отсутствует МАС-адрес сетевого адаптера. помимо того, из перечня поддерживаемых типов атак пропал HTTP flood. В то же период формат получаемых от злоумышленников команд остался прежним. помимо того, в Linux.DDoS.89 возник новейший составляющую — telnet-сканнер, какой раньше употреблялся во любых версиях Linux.BackDoor.Fgt. данный сканер специализирован для розыска в паутине уязвимых механизмов так словно несанкционированного включения к ним по протоколу telnet.

В конце августа – начале сентября была найдена ещё одна освеженная версия этого троянца, получившая заглавие Linux.Mirai. В кое-каких образчиках вредной программы явилась опция самоудаления. Троянец научился отсоединять предотвращающий зависание операционной системы дозорный таймер watchdog (чтобы выключить перезагрузку устройства), а уж уж в список выполняемых типов атак возвратился HTTP flood. для тех перестать менее, Linux.Mirai во многом подобен на своих предшественников. Для уподобления на иллюстрации дальше показан отрывок кода Linux.DDoS.87 (слева) так словно Linux.Mirai (справа).

screen Linux.DDoS.87 #drweb screen Linux.Mirai #drweb

Некоторые эксперты заявили в своих публикациях, словно в случае если Linux.Mirai удается найти в паутине уязвимое telnet-устройство, троянец делает зашитый в его туловище bash-сценарий. подобное поведение реально свойственно для Linux.BackDoor.Fgt, все-таки ни в одном из образцов Linux.Mirai, имеющихся в постановлении вирусных аналитиков «Доктор Веб», похожего сценария найти перестать удалось. Наши эксперты были бы признательны сотрудникам за предоставленные эталоны Linux.Mirai, в коих вирусописатели предусмотрели такую функцию.

Специалисты фирмы «Доктор Веб» подготовили детальный технический ликбез этого семейства вредных программ, какой можно загрузить с нашего веб-сайта в формате PDF.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web