Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web przebadał dwa trojany dla Linuxa

5 czerwca 2017

Analitycy bezpieczeństwa Doctor Web przebadali dwa złośliwe programy dla Linuxa. Jeden z nich instaluje na zainfekowanych przez siebie urządzeniach aplikację do pozyskiwania kryptowalut, drugi uruchamia serwer proxy.

Pierwszy z dwóch wirusów został dodany do baz wirusów Dr.Web pod nazwą Linux.MulDrop.14. Ten złośliwy program atakuje tylko minikomputery Raspberry Pi. Przestępcy rozpoczęli dystrybucję Linux.MulDrop.14 w drugiej połowie maja. Trojan jest w rzeczywistości skryptem zawierającym skompresowaną i zaszyfrowaną aplikację zaprojektowaną do pozyskiwania kryptowalut. Linux.MulDrop.14 zmienia hasło na zainfekowanych urządzeniach, rozpakowuje i uruchamia program górniczy, a następnie, w nieskończonej pętli, rozpoczyna wyszukiwanie węzłów sieci z otwartym portem 22. Po zestawieniu połączenia z nimi z użyciem protokołu SSH, trojan próbuje uruchomić na nich kopię samego siebie.

Drugi trojan został nazwany Linux.ProxyM. Ataki wywołane przez tego trojana zostały odnotowane już w lutym 2017, ale osiągnęły szczyt pod koniec maja. Poniższy diagram pokazuje jak wiele ataków Linux.ProxyM zostało przechwyconych przez specjalistów Doctor Web:

graph #drweb

Znacząca część zaatakowanych adresów IP jest zlokalizowana w Rosji. Drugie miejsce zajmują Chiny, a trzecie — Taiwan. Poniższa ilustracja pokazuje położenie geograficzne węzłów w których przeprowadzono ataki wirusem Linux.ProxyM:

graph #drweb

Trojan używa specjalnego zakresu metod do wykrywania tzw. Honeypots — specjalnych serwerów-przynęt używanych przez specjalistów z zakresu cyberbezpieczeństwa do badania złośliwego oprogramowania. Uruchomiony trojan podłącza się do swojego serwera kontrolno-zarządzającego i po uzyskaniu od niego potwierdzenia, uruchamia serwer SOCKS proxy na zainfekowanym urządzeniu. Cyberprzestępcy mogą używać tego trojana do zapewnienia sobie anonimowości online.

Obydwa opisywane trojany są z powodzeniem wykrywane i usuwane przez produkty Dr.Web dla Linuxa i tym samym nie stanowią żadnego zagrożenia dla naszych użytkowników.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A