Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web ostrzega przed nowym trojanem dla Linuxa

14 września 2016

Ataki Distributed Denial of Service (DDoS) są najpopularniejszym sposobem atakowania zasobów sieciowych używanym przez cyberprzestępców. Zaatakowany serwer otrzymuje tak wiele przychodzących żądań, że nie jest w stanie poradzić sobie z tą „lawiną” zapytań i kończy swoją pracę. Cyberprzestępcy do realizacji takich ataków często używają specjalnego malware. Jeden z takich programów, nazwany Linux.DDoS.93, został wykryty przez analityków bezpieczeństwa Doctor Web.

Trojan Linux.DDoS.93 został stworzony do atakowania komputerów działających pod kontrolą systemu operacyjnego Linux. Prawdopodobnie jest rozpowszechniany z użyciem zestawu podatności ShellShock obecnych w GNU Bash.

Uruchomiony, Linux.DDoS.93 próbuje zmienić zawartość katalogów systemowych, aby zapewnić sobie automatyczne uruchamianie się. Następnie trojan sprawdza, czy w zainfekowanym komputerze są obecne inne kopie Linux.DDoS.93 i jeśli je wykryje - zamyka je.

Uruchomiony z powodzeniem trojan tworzy dwa procesy podrzędne. Pierwszy z nich jest odpowiedzialny za wymianę danych z serwerem kontrolno-zarządzającym. Drugi weryfikuje, czy proces nadrzędny działa w nieskończonej pętli (jeśli nie, to uruchamia go). Proces nadrzędny robi później to samo względem procesów podrzędnych — tym samym trojan jest w stanie działać na zainfekowanej maszynie bez żadnych przerw.

Linux.DDoS.93 potrafi wykonywać następujące komendy:

  • Aktualizacja złośliwego programu
  • Pobranie i uruchomienie pliku określonego w poleceniu
  • Usunięcie siebie samego
  • Uruchomienie na określonym porcie ataku UDP flood
  • Uruchomienie na losowo wybranym porcie ataku UDP flood
  • Uruchomienie ataku Spoofed UDP flood
  • Uruchomienie ataku TCP flood
  • Uruchomienie ataku TCP flood (do pakietów są dodawane losowe dane o długości do 4096 bajtów)
  • Uruchomienie ataku HTTP flood z użyciem żądań GET
  • Uruchomienie ataku HTTP flood z użyciem żądań POST
  • Uruchomienie ataku HTTP flood z użyciem żądań HEAD
  • Wysyłanie żądań HTTP z określonymi parametrami na 255 losowych adresów IP
  • Przerwanie działania
  • Wysłanie komendy PING

Gdy trojan otrzymuje komendę uruchomienia ataku DDoS lub wysłania losowych żądań, kończy on najpierw pracę wszystkich procesów podrzędnych, a następnie uruchamia 25 nowych, które potem przeprowadzają zlecone przez cyberprzestępców ataki. Sygnatura Linux.DDoS.93 została dodana do bazy wirusów Dr. Web, tym samym użytkownicy Dr.Web dla Linuxa są objęci niezawodną ochroną przed tym zagrożeniem.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A