Library
My library

+ Add to library

Profile

Wróć do listy aktualności

Doctor Web przebadał dwa trojany dla Linuxa

5 czerwca 2017

Analitycy bezpieczeństwa Doctor Web przebadali dwa złośliwe programy dla Linuxa. Jeden z nich instaluje na zainfekowanych przez siebie urządzeniach aplikację do pozyskiwania kryptowalut, drugi uruchamia serwer proxy.

Pierwszy z dwóch wirusów został dodany do baz wirusów Dr.Web pod nazwą Linux.MulDrop.14. Ten złośliwy program atakuje tylko minikomputery Raspberry Pi. Przestępcy rozpoczęli dystrybucję Linux.MulDrop.14 w drugiej połowie maja. Trojan jest w rzeczywistości skryptem zawierającym skompresowaną i zaszyfrowaną aplikację zaprojektowaną do pozyskiwania kryptowalut. Linux.MulDrop.14 zmienia hasło na zainfekowanych urządzeniach, rozpakowuje i uruchamia program górniczy, a następnie, w nieskończonej pętli, rozpoczyna wyszukiwanie węzłów sieci z otwartym portem 22. Po zestawieniu połączenia z nimi z użyciem protokołu SSH, trojan próbuje uruchomić na nich kopię samego siebie.

Drugi trojan został nazwany Linux.ProxyM. Ataki wywołane przez tego trojana zostały odnotowane już w lutym 2017, ale osiągnęły szczyt pod koniec maja. Poniższy diagram pokazuje jak wiele ataków Linux.ProxyM zostało przechwyconych przez specjalistów Doctor Web:

graph #drweb

Znacząca część zaatakowanych adresów IP jest zlokalizowana w Rosji. Drugie miejsce zajmują Chiny, a trzecie — Taiwan. Poniższa ilustracja pokazuje położenie geograficzne węzłów w których przeprowadzono ataki wirusem Linux.ProxyM:

graph #drweb

Trojan używa specjalnego zakresu metod do wykrywania tzw. Honeypots — specjalnych serwerów-przynęt używanych przez specjalistów z zakresu cyberbezpieczeństwa do badania złośliwego oprogramowania. Uruchomiony trojan podłącza się do swojego serwera kontrolno-zarządzającego i po uzyskaniu od niego potwierdzenia, uruchamia serwer SOCKS proxy na zainfekowanym urządzeniu. Cyberprzestępcy mogą używać tego trojana do zapewnienia sobie anonimowości online.

Obydwa opisywane trojany są z powodzeniem wykrywane i usuwane przez produkty Dr.Web dla Linuxa i tym samym nie stanowią żadnego zagrożenia dla naszych użytkowników.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments