Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Miłośnik Krebsa stworzył nowego trojana

21 sierpnia 2017

Trojany “górnicze”, które wykorzystują zasoby komputera do wydobywania kryptowalut, są znane od 2011 roku. W ostatnich latach zainteresowanie przestępców takimi złośliwymi programami nie zanikło, czego dowodem jest pojawianie się nowych programów tego typu.

Trojany górnicze pojawiają się dość regularnie, a analitycy wirusów Doctor Web zauważyli ciekawy trend: twórcy tych programów wzięli sobie obecnie za cel platformę systemu Linux. Po części wzięło się to stąd, że urządzenia typu „smart” pracujące pod kontrolą Linuxa stały się ostatnio bardzo popularne, a posiadacze tych urządzeń nie zmieniają ich domyślnych ustawień, szczególnie loginu i hasła administratora. To dlatego włamanie się do tych urządzeń nie jest znaczącym problemem dla cyberprzestępców.

Linux.BtcMine.26 jest kolejnym trojanem górniczym dla urządzeń z systemem Linux. Jego schemat dystrybucji jest podobny do mechanizmu infekcji trojanem Linux.Mirai: cyberprzestępcy łączą się z atakowanym urządzeniem z użyciem protokołu Telnet, podają domyślny login i hasło, a następnie zapisują na urządzeniu program ładujący trojana. Potem, używając poleceń konsoli uruchamiają program ładujący z poziomu terminala i w ten sposób Linux.BtcMine.26 zostaje pobrany na urządzenie.

Analiza programu ładującego trojana górniczego ujawniła osobliwą cechę tej aplikacji: w jej kodzie źródłowym kilkakrotnie pojawia się adres krebsonsecurity.com. Ta strona www jest własnością dobrze znanego eksperta z zakresu cyberbezpieczeństwa, Bryana Krebsa. Najwyraźniej autor tego trojana jest jego cichym wielbicielem.

screenshot Linux.BtcMine.26 #drweb

Trojan został zaprojektowany do pozyskiwania jednostek Monero (XMR), kryptowaluty stworzonej w 2014 roku. Wiadomo że obecne instancje Linux.BtcMine.26 istnieją w wersjach dla architektury sprzętowej x86-64 i ARM. Za obecnością trojana górniczego w systemie mogą przemawiać następujące charakterystyczne sygnały: spadek szybkości działania urządzenia i wzrost emisji ciepła podczas jego pracy. Najbardziej pewnym sposobem zapobieżenia zainfekowaniu urządzeń przez te trojany jest bezzwłoczna zmiana domyślnego loginu i hasła na swoje własne. Zaleca się użycie na tyle złożonych haseł, że nie będą one mogły być złamane z użyciem metody słownikowej. Zaleca się też włączenie ograniczeń na zdalne wprowadzanie dowolnych zmian w ustawieniach urządzenia z użyciem zestawionych z nim połączeń zewnętrznych.

Sygnatura Linux.BtcMine.26 została dodana do bazy Antywirusa Dr.Web dla Linuxa, więc ten trojan nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A