DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Doctor Web ostrzega przed nowym trojanem dla Linuxa

14 września 2016

Ataki Distributed Denial of Service (DDoS) są najpopularniejszym sposobem atakowania zasobów sieciowych używanym przez cyberprzestępców. Zaatakowany serwer otrzymuje tak wiele przychodzących żądań, że nie jest w stanie poradzić sobie z tą „lawiną” zapytań i kończy swoją pracę. Cyberprzestępcy do realizacji takich ataków często używają specjalnego malware. Jeden z takich programów, nazwany Linux.DDoS.93, został wykryty przez analityków bezpieczeństwa Doctor Web.

Trojan Linux.DDoS.93 został stworzony do atakowania komputerów działających pod kontrolą systemu operacyjnego Linux. Prawdopodobnie jest rozpowszechniany z użyciem zestawu podatności ShellShock obecnych w GNU Bash.

Uruchomiony, Linux.DDoS.93 próbuje zmienić zawartość katalogów systemowych, aby zapewnić sobie automatyczne uruchamianie się. Następnie trojan sprawdza, czy w zainfekowanym komputerze są obecne inne kopie Linux.DDoS.93 i jeśli je wykryje - zamyka je.

Uruchomiony z powodzeniem trojan tworzy dwa procesy podrzędne. Pierwszy z nich jest odpowiedzialny za wymianę danych z serwerem kontrolno-zarządzającym. Drugi weryfikuje, czy proces nadrzędny działa w nieskończonej pętli (jeśli nie, to uruchamia go). Proces nadrzędny robi później to samo względem procesów podrzędnych — tym samym trojan jest w stanie działać na zainfekowanej maszynie bez żadnych przerw.

Linux.DDoS.93 potrafi wykonywać następujące komendy:

  • Aktualizacja złośliwego programu
  • Pobranie i uruchomienie pliku określonego w poleceniu
  • Usunięcie siebie samego
  • Uruchomienie na określonym porcie ataku UDP flood
  • Uruchomienie na losowo wybranym porcie ataku UDP flood
  • Uruchomienie ataku Spoofed UDP flood
  • Uruchomienie ataku TCP flood
  • Uruchomienie ataku TCP flood (do pakietów są dodawane losowe dane o długości do 4096 bajtów)
  • Uruchomienie ataku HTTP flood z użyciem żądań GET
  • Uruchomienie ataku HTTP flood z użyciem żądań POST
  • Uruchomienie ataku HTTP flood z użyciem żądań HEAD
  • Wysyłanie żądań HTTP z określonymi parametrami na 255 losowych adresów IP
  • Przerwanie działania
  • Wysłanie komendy PING

Gdy trojan otrzymuje komendę uruchomienia ataku DDoS lub wysłania losowych żądań, kończy on najpierw pracę wszystkich procesów podrzędnych, a następnie uruchamia 25 nowych, które potem przeprowadzają zlecone przez cyberprzestępców ataki. Sygnatura Linux.DDoS.93 została dodana do bazy wirusów Dr. Web, tym samym użytkownicy Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments