Специалисты из российской компании «Яндекс» обнаружили новый вид вредоносного ПО, который угрожает веб-серверам под операционными системами семейства *nix.
Программа под названием Mayhem на первый взгляд выглядит как PHP-скрипт. После запуска она убивает все процессы ‘/usr/bin/host’, определяет архитектуру ОС (x64 или x86), тип системы (Linux или FreeBSD) и размещает вредоносный файл ‘libworker.so’. На скриншоте показана первая часть скрипта.
Затем PHP-дроппер создаёт шелл-скрипт под названием 1.sh и запускает его на исполнение.
По информации «Яндекса», зловред Mayhem заразил около 1400 серверов под Linux и FreeBSD. Эксперты предполагают, что Mayhem является продолжением атаки с брутфорсом паролей Fort Disco, которая началась в мае 2013 года. По крайней мере, Mayhem поддерживает расширения для брутфорса.
