Специалисты компании «Доктор Веб» напоминают, что не весь хакерский софт одинаково полезен и безопасен. Эксперты обнаружили, что утилита для Linux, предназначенная для организации DoS-атак (UDP-флуда), атакует самих установивших ее злоумышленников.
Вряд ли подобный софт можно найти в приличных репозиториях. Утилита, обнаруженная аналитиками «Доктор Веб», сама по себе предназначена для организации атак — массовой отправки на заданный адрес UDP-пакетов. Однако помимо этих задокументированных функций утилита паразитировала на желающих стать хакерами.
Для проникновения на машину жертвы эта малварь не использует какие-либо уязвимости, автоматизированные скрипты или брутфорс. Вредонос полагается на глупость пользователей, и эта тактика отлично работает: жертвы сами загружают и запускают на своем компьютере утилиту для UDP-флуда, к тому же выдавая ей root-права при запуске.
Получив root-привилегии, утилита подгружает с командного сервера скрипт Linux.Downloader.116, который, в свою очередь, скачивает на машину жертвы основной модуль бэкдора Linux.BackDoor.Xudp.1. Вредонос сохраняется в /lib/.socket1 или /lib/.loves, затем прописывает сценарий автозапуска в /etc/ под именем rc.local, настраивает автозапуск троянца в cron и очищает содержимое iptables.
Укрепившись в системе, бэкдор связывается командными серверами и ожидает от них дальнейших команд. Вредонос способен осуществлять DDoS-атаки или непрерывную отправку запросов заданному удаленному узлу (флуд), а также, что гораздо хуже, может выполнять на зараженном устройстве произвольные команды. Фактически операторы малвари могут запускать на компьютере жертвы любые файлы, похищать данные и так далее.
Специалисты «Доктор Веб» отмечают, что сейчас зловред определенно находится на стадии активной разработки, так как обновления и новые модификации появляются с завидной регулярностью.
Фото: Shutterstock
