Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył kilka tysięcy zainfekowanych urządzeń z systemem Linux

24 stycznia 2017

Pod koniec zeszłego roku analitycy bezpieczeństwa Doctor Web odnotowali wzrost liczebności złośliwych programów dla Linuxa, a pod koniec stycznia tego roku wykryli kilka tysięcy urządzeń z systemem Linux zainfekowanych nowym trojanem.

Trojan, używany przez cyberprzestępców do infekowania licznych urządzeń sieciowych z systemem Linux, został nazwany Linux.Proxy.10. Tak jak sugeruje jego nazwa, został zaprojektowany do uruchamiania na zainfekowanym urządzeniu serwera proxy SOCKS5, na podstawie ogólnie dostępnego kodu źródłowego zapożyczonego z programu Satanic Socks Server. Cyberprzestępcy używają tego trojana do zapewnienia sobie anonimowości w sieci.

W celu dystrybucji Linux.Proxy.10, cyberprzestępcy logują się na podatnych urządzeniach z użyciem protokołu SSH i w tym samym czasie adresy IP tych hostów, jak i odpowiadające im loginy i hasła, są zapisywane do listy urządzeń umieszczonej na ich serwerze. Lista wygląda następująco: «adres IP:login:hasło». Warto zauważyć że użytkownicy z takimi szczegółami konta są zwykle tworzeni przez inne trojany dla Linuxa. Innymi słowy, Linux.Proxy.10 infiltruje komputery i urządzenia które albo posiadają standardowe ustawienia, albo zostały zainfekowane przez malware dla Linuxa.

screen Linux.Proxy.10 #drweb

Z pomocą tej listy generowany jest skrypt, uruchamiany na zainfekowanych urządzeniach z użyciem narzędzia sshpass. Infekuje on zaatakowany system trojanem Linux.Proxy.10.

Oprócz tego okazało się, że serwer należący do cyberprzestępców dystrybuujących Linux.Proxy.10 zawiera nie tylko listę podatnych urządzeń. Analitycy bezpieczeństwa Doctor Web wykryli również panel administracyjny Spy-Agent i niedokończone malware dla Windows ze znanej rodziny trojanów szpiegujących, BackDoor.TeamViewer.

screen Linux.Proxy.10 #drweb

Aby połączyć się z serwerem proxy uruchomionym z użyciem Linux.Proxy.10, cyberprzestępcy muszą znać tylko adres IP zainfekowanego urządzenia i numer portu zapisany w kodzie trojana podczas jego kompilacji. Analitycy bezpieczeństwa Doctor Web zdołali policzyć liczbę urządzeń zainfekowanych wirusem Linux.Proxy.10: w dniu 24 stycznia 2017 działał on na kilku tysiącach węzłów.

Aby zabezpieczyć urządzenia przed Linux.Proxy.10 w przypadku podejrzenia infekcji, zaleca się zdalne ich przeskanowanie poprzez protokół SSH z użyciem Antywirusa Dr.Web 11.0 dla Linuxa.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A