Специалисты компании «Доктор Веб» предупредили еще об одном трояне, который атакует Linux-системы. Исследователи сообщили, что вредонос Linux.DDoS.93 использует для атак набор уязвимостей ShellShock в программе GNU Bash, обнаруженный еще в 2014 году.

С начала августа 2016 года эксперты различных компаний обнаруживают новые Linux-трояны едва ли не каждую неделю. За последний месяц исследователи предупреждали о трояне Linux.Rex.1, написанном на языке Go, который формирует P2P-ботнет; вымогателе FairWare, который удаляет файлы с зараженных серверов; трояне LuaBot, написанном на языке Lua и нацеленном на Linux-системы, будь то IoT-устройства или веб-серверы; а также о кроссплатформаенной малвари Mokes.A и Linux.BackDoor.Irc.16, опасной в том числе и для Linux-систем.

Свежий троян Linux.DDoS.93 достаточно прост. После запуска он пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить себе автозагрузку. В частности, вредонос проверяет наличие файла /var/run/dhcpclient-eth0.pid, и если его нет, малварь регистрирует себя в автозагрузке и блокирует /var/run/dhcpclient-eth0.pid. Собственное имя малварь маскирует под имя «-sh». Затем троян ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работу.

Но это далеко не всё, что проверяет малварь. Троян также проверяет совпадение с одной из строк, приведенных в списке ниже, и если совпадение найдено, работа процесса останавливается. В списке, в числе прочего, фигурирует имя известного ИБ-журналиста Брайана Кребса:

capture2

Если заражение прошло успешно, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь родительский процесс тоже следит за дочерним и перезапускает его при необходимости, так малварь поддерживает свою непрерывную работу на зараженной машине.

После троян может выполнять следующие команды:

capture

Получив от управляющего сервера команду начать DDoS-атаку или команду SCANNER, троян сначала завершает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом или осуществляют сканирование.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии