Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył trojana dla systemu Linux napisanego w języku Go

8 sierpnia 2016

Analitycy Doctor Web wykryli i przebadali nowego trojana dla systemu Linux zdolnego do uruchamiania na zainfekowanym komputerze programu do wydobywania kryptowaluty. Jego główna cecha leży w fakcie, że został on napisany w języku Go, opracowanym przez Google.

Trojan, nazwany Linux.Lady.1, potrafi wykonywać ograniczony zakres działań, takich jak ustalenie zewnętrznego adresu IP zainfekowanego komputera, zaatakowanie innych komputerów, oraz pobranie i uruchomienie oprogramowania do wydobywania kryptowaluty. Linux.Lady.1 został napisany w opracowanym przez Google języku programowania — Go. Mimo że analitycy bezpieczeństwa Doctor Web zetknęli się już z trojanami napisanymi w Go, to te złośliwe programy nie były, jak dotąd, często wykrywane “na wolności”. Architektura trojana zawiera kilka bibliotek opublikowanych w GitHub — najpopularniejszym serwisie dla twórców aplikacji opartym na zasadach pracy grupowej.

screen #drweb

Gdy Linux.Lady.1 zostanie uruchomiony, wysyła następujące informacje na serwer kontrolno-zarządzający: bieżącą wersję systemu Linux i nazwę rodziny do której należy dany system operacyjny, liczbę procesorów (CPU), nazwy i liczbę uruchomionych procesów, i tak dalej. Trojan otrzymuje plik konfiguracyjny niezbędny do pobrania i uruchomienia programu do wydobywania kryptowaluty w celu generowania dochodu, który w następnym kroku zostaje przesłany do portfela elektronicznego (e-wallet) należącego do cyberprzestępców.

screen #drweb

Linux.Lady.1 potrafi również ustalić zewnętrzny adres IP zainfekowanego komputera używając w tym celu specjalnych stron www, określonych w pliku konfiguracyjnym i zaatakować inne komputery w sieci. Trojan próbuje podłączyć się do zdalnych serwerów poprzez port używany przez serwer magazynu struktur danych Redis (remote dictionary server), bez wprowadzania hasła, licząc na to, że system nie został poprawnie skonfigurowany. Jeśli połączenie zostanie zestawione, malware dodaje do ustawień mechanizmu cron skrypt typu downloader, nazwany Linux.DownLoader.196. Skrypt ten pobiera kopię Linux.Lady.1 i instaluje ją na atakowanym hoście. Następnie trojan dodaje do listy autoryzowanych kluczy szyfrujących klucz służący do łączenia się z tym komputerem poprzez protokół SSH.

Antywirus Dr.Web dla Linux z powodzeniem wykrywa i usuwa wirusy Linux.Lady.1 i Linux.DownLoader.196, tym samym te złośliwe programy nie stanowią zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A