Новый троян для Linux способен проводить DDoS-атаки
05 фев 2015 15:20 #7707
от ICT
ICT создал тему: Новый троян для Linux способен проводить DDoS-атаки
Специалисты компании «Доктор Веб» исследовали сложный многофункциональный троян, предназначенный для заражения ОС Linux. Данная вредоносная программа обладает возможностью выполнять различные команды, поступающие от злоумышленников, в том числе организовывать DDoS-атаки, а также реализует широкий спектр других функциональных возможностей, сообщили CNews в «Доктор Веб». Новая вредоносная программа для Linux, получившая наименованиеLinux.BackDoor.Xnote.1, распространяется аналогично некоторым другим троянам для данной ОС: подбирая необходимый пароль, злоумышленники взламывают учетные записи для доступа к атакуемой системе по протоколу SSH. У вирусных аналитиков «Доктор Веб» имеются основания полагать, что к созданию бэкдора приложили руку китайские злоумышленники из хакерской группы ChinaZ. В первую очередь, Linux.BackDoor.Xnote.1 проверяет, запущена ли в инфицированной системе другая копия трояна, и, если таковая обнаруживается, завершает свою работу. Установка вредоносной программы в систему осуществляется только в том случае, если она запущена с правами суперпользователя (root): в процессе инсталляции троян создает свою копию в папке /bin/ в виде файла с именем iptable6 и удаляет исходный файл, из которого он был запущен. Также Linux.BackDoor.Xnote.1 ищет в папке /etc/init.d/ сценарии, начинающиеся со строки "!#/bin/bash", и добавляет после этой строки еще одну строку, обеспечивающую запуск бэкдора. Для обмена данными с принадлежащим киберпреступникам управляющим сервером троян использует следующий алгоритм. Для получения конфигурационных данных бэкдор ищет в своем теле специальную строку, указывающую на начало зашифрованного конфигурационного блока, затем расшифровывает его и начинает последовательный опрос управляющих серверов по списку, продолжающийся до тех пор, пока не будет обнаружен действующий или пока не закончится список. Перед передачей пакетов данный троян и управляющий сервер сжимают их с использованием библиотеки zlib, рассказали в компании. Сначала Linux.BackDoor.Xnote.1 отправляет на сервер злоумышленников информацию об инфицированной системе, затем переходит в режим ожидания команд от удаленного сервера. Если команда подразумевает выполнение какого-либо задания, для его реализации создается отдельный процесс, устанавливающий собственное соединение с управляющим сервером, с использованием которого он получает все необходимые конфигурационные данные и отправляет результаты выполнения задачи. Так, по команде злоумышленников Linux.BackDoor.Xnote.1 может назначить зараженной машине уникальный идентификатор, начать DDoS-атаку на удаленный узел с заданным адресом (среди возможных типов атак — SYN Flood, UDP Flood, HTTP Flood и NTP Amplification), прекратить начатую ранее атаку, обновить исполняемый файл бэкдора, записать информацию в файл или удалить себя. Отдельный блок заданий троян может выполнять с различными файловыми объектами. Получив соответствующую команду, Linux.BackDoor.Xnote.1 отсылает злоумышленникам информацию о файловой системе инфицированного компьютера (общее количество блоков данных в файловой системе, количество свободных блоков), после чего может выполнить следующие команды: перечислить файлы и каталоги внутри указанного каталога; отослать на сервер сведения о размере файла; создать файл, в который можно будет сохранить принимаемые данные; принять файл; отправить файл на управляющий сервер; удалить файл; удалить каталог; отправить управляющему серверу сигнал о готовности принять файл; создать каталог; переименовать файл; запустить файл. Кроме того, троян может запустить командную оболочку (shell) с заданными переменными окружения и предоставить управляющему серверу доступ к ней, запустить на зараженном компьютере SOCKS proxy или собственную реализацию сервера portmap. Сигнатура данной вредоносной программы добавлена в вирусную базу Dr.Web, таким образом, пользователи «Антивируса Dr.Web для Linux» защищены от действия этого трояна, указали в «Доктор Веб».
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Новый Linux-троян помогает проводить DDoS-атаки | 36.21 | Вторник, 13 сентября 2016 |
Троян для Linux способен делать снимки экрана и записывать звук | 20.36 | Вторник, 19 января 2016 |
Новый Android-троян способен получить root-доступ для выполнения вредоносных действий | 18.17 | Вторник, 21 апреля 2015 |
Linux-червь Remaiten объединяет роутеры в ботнет и проводит DDoS-атаки | 18.12 | Понедельник, 04 апреля 2016 |
«Доктор Веб» исследовал новый троян для Linux | 16.03 | Четверг, 03 декабря 2015 |
Новый троян для Linux заражает роутеры с архитектурой ARM, MIPS и PowerPC | 15.53 | Вторник, 04 августа 2015 |
Новый троян с неизвестной целью превращает Linux-устройства в «кирпичи» | 15.53 | Четверг, 13 апреля 2017 |
На рынке появился новый опасный троян, позволяющий хакерам контролировать Android, Windows, Mac и Linux | 15.05 | Пятница, 06 ноября 2015 |
DDoS-атаки стали в 50 раз мощнее за последние 10 лет | 13.22 | Среда, 04 февраля 2015 |
DDoS-атаки на систему онлайн-голосования | 13.22 | Понедельник, 24 мая 2021 |