Троян с благими намерениями заразил десятки тысяч устройств на Linux
06 окт 2015 13:20 #25541
от ICT
ICT создал тему: Троян с благими намерениями заразил десятки тысяч устройств на Linux
Новый троян для Linux-роутеров Специалисты из компании Symantec сообщили об обнаружении трона Linux.Wifatch, заражающего сетевые устройства под управлением прошивок с ядром Linux.
Троян был найден независимым исследователем. Он обнаружил на своем роутере запущенные процессы, которые не были похожи на легитимные, и решил изучить их. В процессе анализа исследователь нашел на роутере сложный код, который подключил его роутер к P2P-сети аналогичных зараженных зомби-устройств. Эксперты из Symantec тоже проанализировали код и пришли к выводу, что он сложнее тех вредоносных приложений, которые встречались ранее.
Код трояна
Основная часть кода написана на Perl, он рассчитан на несколько микропроцессорных архитектур и идет с собственным статичным интерпретатором Perl для каждой архитектуры. После того как устройство заражается Wifatch, оно подключается к P2P-сети, используемой для дистрибуции обновлений для Wifatch.
Необычная цель создателя
Продолжив анализ троян, исследователи из Symantec сделали неожиданное открытие — судя по всему, создатель Wifatch преследовал цель защитить заражаемые устройства, а не использовать их в корыстных целях, например, для организации DDoS-атак (распределенных атак типа «отказ в обслуживании»).
Код Wifatch не загружает в память роутера какие-либо модули для вредоносной активности. Аналитики следили за работой P2P-сети зараженных устройств в течение трех месяцев и не зарегистрировали ни единого случая вредоносной активности.
http://filearchive.cnews.ru/img/cnews/2015/10/06/telnet1.jpg"> [b]Троян рекомендует сменить пароль и обновить прошивку[/b] [b]Благие намерения [/b] Более того, Wifatch пытался защитить роутеры, закрывая процесс агента Telnet, позволяющего получить к системе более глубокий доступ. А также рекомендовал пользователю в консоли сменить пароль для доступа по протоколу Telnet и установить обновление прошивки, если таковое имеется. Наконец, Wifatch имеет модуль для удаления вредоносного кода. Аналитики выяснили, что этот модуль способен удалять с зараженного устройства хорошо известные вирусы и трояны. По словам исследователей, создатель Wifatch не применял тактику запутывания кода. Были использованы лишь сжатие данных и мини-версии исходного кода. Для автора задача запутывания Perl-кода была несложной, тем не менее, он не стал прибегать к этому приему. [b]География заражения[/b] Так или иначе, но Wifatch содержит ряд стандартных бэкдоров и, при необходимости, может быть использован для атаки. Кроме того, помещение этого троян в роутеры происходит без согласия и уведомления пользователей, подчеркнули в Symantec, указав, что такое поведение в большей степени похоже на вредоносное. Потратив несколько месяцев на изучение созданной Wifatch пассивной зомби-сети, исследователи нашли десятки тысяч зараженных трояном устройств. Большая часть из них находится в Китае (32%), затем идут Бразилия (16%), Мексика (9%), Индия (9%), Вьетнам (7%), Италия (7%), Турция (7%), Южная Корея (5%), США (5%) и Польша (3%). Больше всего заражений приходится на архитектуру ARM — 83%. На архитектуру MIPS приходится 10% заражений, а на SH4 — 7%. На PowerPC и x86 вместе приходится 0,1% заражений.[img]http://filearchive.cnews.ru/img/cnews/2015/10/06/telnet1.jpg">
Троян рекомендует сменить пароль и обновить прошивку
Благие намерения
Более того, Wifatch пытался защитить роутеры, закрывая процесс агента Telnet, позволяющего получить к системе более глубокий доступ. А также рекомендовал пользователю в консоли сменить пароль для доступа по протоколу Telnet и установить обновление прошивки, если таковое имеется.
Наконец, Wifatch имеет модуль для удаления вредоносного кода. Аналитики выяснили, что этот модуль способен удалять с зараженного устройства хорошо известные вирусы и трояны.
По словам исследователей, создатель Wifatch не применял тактику запутывания кода. Были использованы лишь сжатие данных и мини-версии исходного кода. Для автора задача запутывания Perl-кода была несложной, тем не менее, он не стал прибегать к этому приему.
География заражения
Так или иначе, но Wifatch содержит ряд стандартных бэкдоров и, при необходимости, может быть использован для атаки. Кроме того, помещение этого троян в роутеры происходит без согласия и уведомления пользователей, подчеркнули в Symantec, указав, что такое поведение в большей степени похоже на вредоносное.
Потратив несколько месяцев на изучение созданной Wifatch пассивной зомби-сети, исследователи нашли десятки тысяч зараженных трояном устройств. Большая часть из них находится в Китае (32%), затем идут Бразилия (16%), Мексика (9%), Индия (9%), Вьетнам (7%), Италия (7%), Турция (7%), Южная Корея (5%), США (5%) и Польша (3%).
Больше всего заражений приходится на архитектуру ARM — 83%. На архитектуру MIPS приходится 10% заражений, а на SH4 — 7%. На PowerPC и x86 вместе приходится 0,1% заражений.
Троян был найден независимым исследователем. Он обнаружил на своем роутере запущенные процессы, которые не были похожи на легитимные, и решил изучить их. В процессе анализа исследователь нашел на роутере сложный код, который подключил его роутер к P2P-сети аналогичных зараженных зомби-устройств. Эксперты из Symantec тоже проанализировали код и пришли к выводу, что он сложнее тех вредоносных приложений, которые встречались ранее.
Код трояна
Основная часть кода написана на Perl, он рассчитан на несколько микропроцессорных архитектур и идет с собственным статичным интерпретатором Perl для каждой архитектуры. После того как устройство заражается Wifatch, оно подключается к P2P-сети, используемой для дистрибуции обновлений для Wifatch.
Необычная цель создателя
Продолжив анализ троян, исследователи из Symantec сделали неожиданное открытие — судя по всему, создатель Wifatch преследовал цель защитить заражаемые устройства, а не использовать их в корыстных целях, например, для организации DDoS-атак (распределенных атак типа «отказ в обслуживании»).
Код Wifatch не загружает в память роутера какие-либо модули для вредоносной активности. Аналитики следили за работой P2P-сети зараженных устройств в течение трех месяцев и не зарегистрировали ни единого случая вредоносной активности.
http://filearchive.cnews.ru/img/cnews/2015/10/06/telnet1.jpg"> [b]Троян рекомендует сменить пароль и обновить прошивку[/b] [b]Благие намерения [/b] Более того, Wifatch пытался защитить роутеры, закрывая процесс агента Telnet, позволяющего получить к системе более глубокий доступ. А также рекомендовал пользователю в консоли сменить пароль для доступа по протоколу Telnet и установить обновление прошивки, если таковое имеется. Наконец, Wifatch имеет модуль для удаления вредоносного кода. Аналитики выяснили, что этот модуль способен удалять с зараженного устройства хорошо известные вирусы и трояны. По словам исследователей, создатель Wifatch не применял тактику запутывания кода. Были использованы лишь сжатие данных и мини-версии исходного кода. Для автора задача запутывания Perl-кода была несложной, тем не менее, он не стал прибегать к этому приему. [b]География заражения[/b] Так или иначе, но Wifatch содержит ряд стандартных бэкдоров и, при необходимости, может быть использован для атаки. Кроме того, помещение этого троян в роутеры происходит без согласия и уведомления пользователей, подчеркнули в Symantec, указав, что такое поведение в большей степени похоже на вредоносное. Потратив несколько месяцев на изучение созданной Wifatch пассивной зомби-сети, исследователи нашли десятки тысяч зараженных трояном устройств. Большая часть из них находится в Китае (32%), затем идут Бразилия (16%), Мексика (9%), Индия (9%), Вьетнам (7%), Италия (7%), Турция (7%), Южная Корея (5%), США (5%) и Польша (3%). Больше всего заражений приходится на архитектуру ARM — 83%. На архитектуру MIPS приходится 10% заражений, а на SH4 — 7%. На PowerPC и x86 вместе приходится 0,1% заражений.[img]http://filearchive.cnews.ru/img/cnews/2015/10/06/telnet1.jpg">
Троян рекомендует сменить пароль и обновить прошивку
Благие намерения
Более того, Wifatch пытался защитить роутеры, закрывая процесс агента Telnet, позволяющего получить к системе более глубокий доступ. А также рекомендовал пользователю в консоли сменить пароль для доступа по протоколу Telnet и установить обновление прошивки, если таковое имеется.
Наконец, Wifatch имеет модуль для удаления вредоносного кода. Аналитики выяснили, что этот модуль способен удалять с зараженного устройства хорошо известные вирусы и трояны.
По словам исследователей, создатель Wifatch не применял тактику запутывания кода. Были использованы лишь сжатие данных и мини-версии исходного кода. Для автора задача запутывания Perl-кода была несложной, тем не менее, он не стал прибегать к этому приему.
География заражения
Так или иначе, но Wifatch содержит ряд стандартных бэкдоров и, при необходимости, может быть использован для атаки. Кроме того, помещение этого троян в роутеры происходит без согласия и уведомления пользователей, подчеркнули в Symantec, указав, что такое поведение в большей степени похоже на вредоносное.
Потратив несколько месяцев на изучение созданной Wifatch пассивной зомби-сети, исследователи нашли десятки тысяч зараженных трояном устройств. Большая часть из них находится в Китае (32%), затем идут Бразилия (16%), Мексика (9%), Индия (9%), Вьетнам (7%), Италия (7%), Турция (7%), Южная Корея (5%), США (5%) и Польша (3%).
Больше всего заражений приходится на архитектуру ARM — 83%. На архитектуру MIPS приходится 10% заражений, а на SH4 — 7%. На PowerPC и x86 вместе приходится 0,1% заражений.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Союз потребителей РФ: «Переход на цифровое ТВ-вещание — дорога в ад, вымощенная благими намерениями» | 19.82 | Вторник, 12 марта 2019 |
Десятки тысяч домашних и офисных роутеров заражены Linux-троянами | 17.39 | Четверг, 14 мая 2015 |
В России работают десятки тысяч устройств Cisco с «уязвимостью АНБ» | 17.06 | Пятница, 23 сентября 2016 |
Вирус Gooligan заразил более 1,3 млн. Android-устройств | 14.05 | Четверг, 01 декабря 2016 |
Eset: рекламный ботнет Stantinko заразил полмиллиона устройств | 13.9 | Пятница, 21 июля 2017 |
За два месяца вирус FalseGuid, предположительно созданный выходцами из РФ, заразил 2 млн устройств через Google Play | 13.33 | Четверг, 27 апреля 2017 |
Известный Android-троян сменил тактику и "заработал" десятки миллионов рублей на российских пользователях | 12.65 | Вторник, 17 сентября 2019 |
HP уволит десятки тысяч сотрудников | 12.4 | Среда, 16 сентября 2015 |
Linux-троян оставался незамеченным 10 лет | 12.34 | Воскресенье, 27 февраля 2022 |
«Доктор Веб» исследовал новый троян для Linux | 12.2 | Четверг, 03 декабря 2015 |