Вредоносные программы для операционных систем семейства Linux перестать настолько всераспространены по уподоблению с Windows-троянцами. для тех перестать перестать делать более они воображают нешуточную угрозу для пользователей. эксперты «Доктор Веб» изучали сложного многокомпонентного троянца, могущего заражать устройства под управлением Linux с разной аппаратной архитектурой.
Первые атаки с внедрением троянца, вошедшего в семья , эксперты «Доктор Веб» фиксировали снова в декабре 2016 года. кончено представители семейства напечатаны на скриптовом языке Lua. Троянец безпрерывно эволюционирует с ноября 2016 года, этак будто новенькие версии возникают с завидной регулярностью. вредная программа воображает собой комплект из 31 Lua-сценария этак будто 2-ух добавочных модулей, любой из коих делает личную функцию. Троянец в силах заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k – прочими словами, перестать навряд компьютеры, однако этак будто широчайший ассортимент роутеров, телевизионных приставок, сетевых хранилищ, IP-камер этак будто альтернативных «умных» девайсов. При конкретно в данном специалистам «Доктор Веб» перестать получилось выявить в «дикой природе» компоновки троянца для архитектуры SPARC: заражающий устройства инфектор троянца умеет измерять данную архитектуру, однако действительно существующих модулей для нее перестать выявлено.
Все входящие в состав сценарии взаимосвязаны. Троянец генерирует копия IP-адресов, коие довольно атаковать, а уж потом пробует совместиться с удаленными устройствами по созданному перечню этак будто авторизоваться способом перебора логинов этак будто паролей по словарю. Скрипты, с внедрением коих исполняется взлом сетевых узлов, умеют измерять архитектуру атакуемого устройства и, за исключением того, имеют особый устройство для детектирования «ханипотов» (от англ. honeypot, «горшочек с медом») — серверов, играющих роль приманки для злоумышленников. С поддержкой «ханипотов» эксперты по информационной безопасности учат способа атак этак будто инструментарий злоумышленников. При конкретно в данном атаки производятся будто по протоколу Telnet, этак так будто средством SSH — за работу с каждым из этих протоколов отвечает кой-какие Lua-сценарий. коли приобрести доступ к устройству удалось, вредный скрипт устанавливает на него троянца соответственной архитектуры. В процессе атаки по протоколу Telnet на скомпрометированный узел вначале загружается маленький модуль, который, запустившись, скачивает самого троянца, при нападению по протоколу SSH троянец загружается сразу.
Один из модулей воображает собой настоящий веб-сервер, работающий по протоколу HTTP. Сервер возможно сберечь на инфицированном устройстве этак будто исполнить приложение, передать по запросу файл из собственной директории этак будто высказывать информацию о версии троянца. Отметим, будто в майской версии преступники убрали функцию передачи заданных о зараженном устройстве.
разговаривает с управляющим сервером по протоколу HTTP, при конкретно в данном вся передаваемая извещение шифруется. Для розыска бодрых конфигурационных файлов этак будто модулей применяют паутину P2P на базе протокола Bittorent DHT, такого же, который-нибудь задействован в обыденных торрент-сетях. За данную функцию отвечает снова одинаковый скрипт. При конкретно в данном принимаемые этак будто передаваемые сообщения проверяются на подлинность с поддержкой цифровой подписи. коли P2P-сеть недоступна, кой-какие сценарий делает обновление с поддержкой альтернативных зараженных узлов, закачивая свои файлы на скомпрометированные устройства по особому запросу. данный сценарий присутствовал навряд в ранних версиях троянца.
Опасность для хозяев Linux-устройств заключается в том, будто данный троянец практически появляется бэкдором, то кушать в силах скорпулезно исполнять поступающие от злоумышленников команды. за исключением того, ранние версии этой вредной программы запускали на скомпрометированном устройстве прокси-сервер, который-нибудь преступники пользовались для анонимизации своих действий в Интернете.
Вирусные аналитики «Доктор Веб» собрали статистику об оригинальных айпишниках устройств, зараженных . Географическое распределение этих адресов показано на надлежащей иллюстрации.
Специалистам «Доктор Веб» натурально крохотку трансформаций , отличающихся набором функций этак будто строительными особенностями. Антивирус Dr.Web детектирует кончено существующие на нынешний денек образчики .
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web