8 sierpnia 2016

Analitycy Doctor Web wykryli i przebadali nowego trojana dla systemu Linux zdolnego do uruchamiania na zainfekowanym komputerze programu do wydobywania kryptowaluty. Jego główna cecha leży w fakcie, że został on napisany w języku Go, opracowanym przez Google.

Trojan, nazwany Linux.Lady.1, potrafi wykonywać ograniczony zakres działań, takich jak ustalenie zewnętrznego adresu IP zainfekowanego komputera, zaatakowanie innych komputerów, oraz pobranie i uruchomienie oprogramowania do wydobywania kryptowaluty. Linux.Lady.1 został napisany w opracowanym przez Google języku programowania — Go. Mimo że analitycy bezpieczeństwa Doctor Web zetknęli się już z trojanami napisanymi w Go, to te złośliwe programy nie były, jak dotąd, często wykrywane “na wolności”. Architektura trojana zawiera kilka bibliotek opublikowanych w GitHub — najpopularniejszym serwisie dla twórców aplikacji opartym na zasadach pracy grupowej.

Gdy Linux.Lady.1 zostanie uruchomiony, wysyła następujące informacje na serwer kontrolno-zarządzający: bieżącą wersję systemu Linux i nazwę rodziny do której należy dany system operacyjny, liczbę procesorów (CPU), nazwy i liczbę uruchomionych procesów, i tak dalej. Trojan otrzymuje plik konfiguracyjny niezbędny do pobrania i uruchomienia programu do wydobywania kryptowaluty w celu generowania dochodu, który w następnym kroku zostaje przesłany do portfela elektronicznego (e-wallet) należącego do cyberprzestępców.

Linux.Lady.1 potrafi również ustalić zewnętrzny adres IP zainfekowanego komputera używając w tym celu specjalnych stron www, określonych w pliku konfiguracyjnym i zaatakować inne komputery w sieci. Trojan próbuje podłączyć się do zdalnych serwerów poprzez port używany przez serwer magazynu struktur danych Redis (remote dictionary server), bez wprowadzania hasła, licząc na to, że system nie został poprawnie skonfigurowany. Jeśli połączenie zostanie zestawione, malware dodaje do ustawień mechanizmu cron skrypt typu downloader, nazwany Linux.DownLoader.196. Skrypt ten pobiera kopię Linux.Lady.1 i instaluje ją na atakowanym hoście. Następnie trojan dodaje do listy autoryzowanych kluczy szyfrujących klucz służący do łączenia się z tym komputerem poprzez protokół SSH.

Antywirus Dr.Web dla Linux z powodzeniem wykrywa i usuwa wirusy Linux.Lady.1 i Linux.DownLoader.196, tym samym te złośliwe programy nie stanowią zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana