DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Doctor Web przebadał dwa trojany dla Linuxa

5 czerwca 2017

Analitycy bezpieczeństwa Doctor Web przebadali dwa złośliwe programy dla Linuxa. Jeden z nich instaluje na zainfekowanych przez siebie urządzeniach aplikację do pozyskiwania kryptowalut, drugi uruchamia serwer proxy.

Pierwszy z dwóch wirusów został dodany do baz wirusów Dr.Web pod nazwą Linux.MulDrop.14. Ten złośliwy program atakuje tylko minikomputery Raspberry Pi. Przestępcy rozpoczęli dystrybucję Linux.MulDrop.14 w drugiej połowie maja. Trojan jest w rzeczywistości skryptem zawierającym skompresowaną i zaszyfrowaną aplikację zaprojektowaną do pozyskiwania kryptowalut. Linux.MulDrop.14 zmienia hasło na zainfekowanych urządzeniach, rozpakowuje i uruchamia program górniczy, a następnie, w nieskończonej pętli, rozpoczyna wyszukiwanie węzłów sieci z otwartym portem 22. Po zestawieniu połączenia z nimi z użyciem protokołu SSH, trojan próbuje uruchomić na nich kopię samego siebie.

Drugi trojan został nazwany Linux.ProxyM. Ataki wywołane przez tego trojana zostały odnotowane już w lutym 2017, ale osiągnęły szczyt pod koniec maja. Poniższy diagram pokazuje jak wiele ataków Linux.ProxyM zostało przechwyconych przez specjalistów Doctor Web:

graph #drweb

Znacząca część zaatakowanych adresów IP jest zlokalizowana w Rosji. Drugie miejsce zajmują Chiny, a trzecie — Taiwan. Poniższa ilustracja pokazuje położenie geograficzne węzłów w których przeprowadzono ataki wirusem Linux.ProxyM:

graph #drweb

Trojan używa specjalnego zakresu metod do wykrywania tzw. Honeypots — specjalnych serwerów-przynęt używanych przez specjalistów z zakresu cyberbezpieczeństwa do badania złośliwego oprogramowania. Uruchomiony trojan podłącza się do swojego serwera kontrolno-zarządzającego i po uzyskaniu od niego potwierdzenia, uruchamia serwer SOCKS proxy na zainfekowanym urządzeniu. Cyberprzestępcy mogą używać tego trojana do zapewnienia sobie anonimowości online.

Obydwa opisywane trojany są z powodzeniem wykrywane i usuwane przez produkty Dr.Web dla Linuxa i tym samym nie stanowią żadnego zagrożenia dla naszych użytkowników.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments