Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web odkrywa samorozpowszechniającego się trojana dla Linuxa potrafiącego tworzyć botnety P2P

19 sierpnia 2016

System operacyjny Linux wciąż pozostaje głównym celem dla twórców wirusów. Analitycy bezpieczeństwa Doctor Web przebadali kolejnego trojana dla Linuxa napisanego w języku programowania Go. Ten złośliwy program atakuje serwery www używające różnych Systemów Zarządzania Treścią (CMS), przeprowadza ataki DDoS, rozsyła wiadomości typu spam i rozdystrybuuje sam siebie poprzez sieć.

Nowy trojan, nazwany Linux.Rex.1, został po raz pierwszy zauważony przez użytkowników forum Kernelmode, którzy nazwali to malware jako “Drupal ransomware”, ponieważ atakowało strony www zbudowane w oparciu o system Drupal. Jednakże specjaliści Doctor Web sądzą, że zostało ono zaprojektowane do realizowania znacznie szerszego zakresu działań.

screen #drweb

Dzisiejsze botnety można podzielić na dwa rodzaje. Botnety pierwszego rodzaju używają do otrzymywania instrukcji serwerów kontrolno-zarządzających (C&C); a botnety drugiego rodzaju przesyłają informacje z jednej zainfekowanej maszyny bezpośrednio na drugą i są nazywane botnetami peer-to-peer (P2P). Linux.Rex.1 jest trojanem, który potrafi tworzyć właśnie takie botnety P2P, implementując protokół odpowiedzialny za współdzielenie danych z innymi zainfekowanymi komputerami. Gdy trojan zostanie uruchomiony, to zainfekowany komputer rozpoczyna pracę jako jeden z węzłów sieci.

Ten złośliwy program otrzymuje dyrektywy poprzez protokół HTTPS i, jeśli jest to konieczne, wysyła je do innych węzłów botnetu. Zarządzany przez cyberprzestępców Linux.Rex.1 rozpoczyna lub wstrzymuje ataki DDoS na określony adres IP. Używa on specjalnego modułu do skanowania sieci pod kątem stron www działających w oparciu o takie systemy CMS jak Drupal, Wordpress, Magento, JetSpeed i inne. Przeszukuje również sieć pod katem urządzeń sieciowych pracujących pod kontrolą systemu AirOS i wykorzystuje znane podatności w celu uzyskania list użytkowników, prywatnych kluczy SSH i poświadczeń logowania zapisanych na zdalnych serwerach, jednakże te informacje nie zawsze są pozyskiwane z powodzeniem.

screen #drweb

Trojan wykorzystuje znane podatności w celu zhakowania stron www stworzonych w oparciu o system Drupal. Dokonując wstrzyknięcia kodu SQL, loguje się on do systemu. Jeśli strona www zostanie zhakowana, Linux.Rex.1 ładuje swoją kopię na stronę www i uruchamia ją. To w ten sposób trojan przeprowadza swoją replikację i jest zdolny do dystrybuowania siebie samego bez interwencji „czynnika ludzkiego”.

Dodatkowo Linux.Rex.1 został również zaprojektowany do rozsyłania wiadomości email typu spam do właścicieli stron www, grożąc im przeprowadzeniem ataków DDoS na ich serwery. Jeśli taki email zostanie wysłany do niewłaściwej osoby, cyberprzestępcy proszą o przesłanie jej do właściciela danej strony www. Aby uniknąć ataku, potencjalne ofiary muszą zapłacić okup w kryptowalucie Bitcoin.

Linux.Rex.1 stanowi poważne zagrożenie dla właścicieli stron www i użytkowników systemu Linux. Jego sygnatura została już dodana do bazy danych Dr.Web dla Linux i jest on z powodzeniem wykrywany i usuwany przez produkty antywirusowe firmy Doctor Web.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A