Семейство опасных Linux-троянов устраивает DDoS-атаки | автор: admin | 29 сентября 2016
Категория: Security
Первая версия этого вредоноса для linux, впоследствии получившая название linux.Mirai, появилась еще в мае 2016 года и была включена в антивирусные базы Dr.Web под названием linux.DDoS.87. Этот троян работает на архитектурах х86, ARM, SPARC, MIPS, M68K,SH-4 и предназначен для проведения атак на отказ обслуживания, то есть DDoS-атак.
linux.DDoS.87 имеет в своем коде целый ряд ошибок, которые были исправлены вирусмэйкерами в новых версиях. Этот троян имеет определенное сходство с вредоносами семейства linux.BackDoor.Fgt, один из которых проявил себя в ноябре 2014 года. После запуска на зараженном устройстве, linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы исключить случайную остановку собственного процесса, троянец создает в своей папке файл с именем .shinigami и время от времени проверяет его присутствие. Затем linux.DDoS.87 устанавливает связь со своим командным сервером для получения команд. На сервер отправляется идентификатор, показывающий архитектуру зараженного устройства, и сведения о MAC-адресе сетевого адаптера.
По команде взломщиков, linux.DDoS.87 выполняет следующие виды DDoS-атак:
- UDP flood;
- UDP flood over GRE;
- DNS flood;
- TCP flood (несколько видов);
- HTTP flood.
Максимальный срок непрерывной работы linux.DDoS.87 на зараженном устройстве составляет одну неделю, по истечении которой троянец завершает собственный процесс.
В начале августа 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую версию этого опасного вредоноса, получившую название linux.DDoS.89. Этот вредонос имеет множество общих сходств со своим предшественником, однако прослеживаются и характерные отличия от linux.DDoS.87. Например, в новой версии алгоритм действий при запуске трояна. Изменился механизм защиты от выгрузки собственного процесса: теперь вредонос не проверяет присутствие специального файла в своей папке, а проверяет идентификатор процесса (PID). Среди отсылаемой linux.DDoS.89 на главный сервер информации убран МАС-адрес сетевой карты. Кроме этого, из списка поддерживаемых типов атак убран HTTP flood, в то время как вид получаемых от взломщиков команд остался прежним. Кроме этого, в linux.DDoS.89 появился новый компонент — telnet-сканнер, который раньше использовался во всех версиях linux.BackDoor.Fgt. Этот сканер предназначается для сканирования сети на уязвимые устройства и несанкционированное подключение через протокол telnet.
В конце августа – начале сентября специалисты обнаружили ещё один вид этого вредоноса, получившего название linux.Mirai. В некоторых образцах вредоносов появилась функция самоудаления. Троянец научился отключать сторожевой таймер watchdog, который предотвращает зависание ОС, а в перечень проводимых видов атак вернули HTTP flood. Тем не менее, linux.Mirai во многом похож на своих предшественников.
Некоторые специалисты сообщили в своих исследованиях, что если linux.Mirai находит в сети уязвимое telnet-устройство, троянец запускает встроенный в его тело bash-скрипт. Такое поведение действительно свойственно для linux.BackDoor.Fgt, однако ни в одном образце linux.Mirai, находящихся в распоряжении вирусных аналитиков «Доктор Веб», подобного сценария найти не удалось.
http://news.softodrom.ru/ap/b26204.shtml
Прочитано 90799 раз и оставлено 1 комментариев.
Первая версия этого вредоноса для linux, впоследствии получившая название linux.Mirai, появилась еще в мае 2016 года и была включена в антивирусные базы Dr.Web под названием linux.DDoS.87. Этот троян работает на архитектурах х86, ARM, SPARC, MIPS, M68K,SH-4 и предназначен для проведения атак на отказ обслуживания, то есть DDoS-атак.
linux.DDoS.87 имеет в своем коде целый ряд ошибок, которые были исправлены вирусмэйкерами в новых версиях. Этот троян имеет определенное сходство с вредоносами семейства linux.BackDoor.Fgt, один из которых проявил себя в ноябре 2014 года. После запуска на зараженном устройстве, linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы исключить случайную остановку собственного процесса, троянец создает в своей папке файл с именем .shinigami и время от времени проверяет его присутствие. Затем linux.DDoS.87 устанавливает связь со своим командным сервером для получения команд. На сервер отправляется идентификатор, показывающий архитектуру зараженного устройства, и сведения о MAC-адресе сетевого адаптера.
По команде взломщиков, linux.DDoS.87 выполняет следующие виды DDoS-атак:
- UDP flood;
- UDP flood over GRE;
- DNS flood;
- TCP flood (несколько видов);
- HTTP flood.
Максимальный срок непрерывной работы linux.DDoS.87 на зараженном устройстве составляет одну неделю, по истечении которой троянец завершает собственный процесс.
В начале августа 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую версию этого опасного вредоноса, получившую название linux.DDoS.89. Этот вредонос имеет множество общих сходств со своим предшественником, однако прослеживаются и характерные отличия от linux.DDoS.87. Например, в новой версии алгоритм действий при запуске трояна. Изменился механизм защиты от выгрузки собственного процесса: теперь вредонос не проверяет присутствие специального файла в своей папке, а проверяет идентификатор процесса (PID). Среди отсылаемой linux.DDoS.89 на главный сервер информации убран МАС-адрес сетевой карты. Кроме этого, из списка поддерживаемых типов атак убран HTTP flood, в то время как вид получаемых от взломщиков команд остался прежним. Кроме этого, в linux.DDoS.89 появился новый компонент — telnet-сканнер, который раньше использовался во всех версиях linux.BackDoor.Fgt. Этот сканер предназначается для сканирования сети на уязвимые устройства и несанкционированное подключение через протокол telnet.
В конце августа – начале сентября специалисты обнаружили ещё один вид этого вредоноса, получившего название linux.Mirai. В некоторых образцах вредоносов появилась функция самоудаления. Троянец научился отключать сторожевой таймер watchdog, который предотвращает зависание ОС, а в перечень проводимых видов атак вернули HTTP flood. Тем не менее, linux.Mirai во многом похож на своих предшественников.
Некоторые специалисты сообщили в своих исследованиях, что если linux.Mirai находит в сети уязвимое telnet-устройство, троянец запускает встроенный в его тело bash-скрипт. Такое поведение действительно свойственно для linux.BackDoor.Fgt, однако ни в одном образце linux.Mirai, находящихся в распоряжении вирусных аналитиков «Доктор Веб», подобного сценария найти не удалось.
http://news.softodrom.ru/ap/b26204.shtml
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 29 сентября 2016-го года !
Прочитано 90799 раз и оставлено 1 комментариев.
#1.