Специалисты из российской компании «Яндекс» обнаружили новый вид вредоносного ПО, который угрожает веб-серверам под операционными системами семейства *nix.

Программа под названием Mayhem на первый взгляд выглядит как PHP-скрипт. После запуска она убивает все процессы ‘/usr/bin/host’, определяет архитектуру ОС (x64 или x86), тип системы (Linux или FreeBSD) и размещает вредоносный файл ‘libworker.so’. На скриншоте показана первая часть скрипта.

000

Затем PHP-дроппер создаёт шелл-скрипт под названием 1.sh и запускает его на исполнение.

001

По информации «Яндекса», зловред Mayhem заразил около 1400 серверов под Linux и FreeBSD. Эксперты предполагают, что Mayhem является продолжением атаки с брутфорсом паролей Fort Disco, которая началась в мае 2013 года. По крайней мере, Mayhem поддерживает расширения для брутфорса.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    7 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии