Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Nowy Trojan dla Linuxa atakuje strony www

15 kwietnia 2015

Analitycy bezpieczeństwa Doctor Web przebadali nowego Trojana, który potrafi infekować komputery z systemem operacyjnym Linux. Ten złośliwy program posiada zdolność do zdalnego skanowania stron www pod kątem podatności i do atakowania zasobów o określonych adresach z użyciem protokołu HTTP. Cyberprzestępcy mogą kontrolować Trojana używając protokołu przesyłania wiadomości tekstowych IRC (Internet Relay Chat).

Trojan ten, nazwany Linux.BackDoor.Sessox.1, rejestruje siebie w autostarcie zainfekowanego komputera. Następnie podłącza się do serwera kontrolno-zarządzającego, posiadającego działający moduł czatu, wspierający protokół IRC. Komendy cyberprzestępców są odbierane przez bota działającego w ramach tego czatu. Trojan potrafi wykonywać następujące polecenia:

  • zalogowanie się do czatu IRC z określoną nazwą użytkownika i hasłem
  • przekazanie wiadomości o czasie pracy komputera (uptime) do kanału IRC
  • zmianę przydomka (nickname) na inny, określony w poleceniu
  • wysłanie do serwera wiadomości PONG (w odpowiedzi na komendę PING)
  • wykonanie jednej z następujących funkcji specjalnych:
    • rozpoczęcie ataku na określoną stronę www z użyciem powtarzających się żądań GET (HTTP Flooder)
    • uruchomienie skanowania pod kątem podatności ShellShock (Skaner ShellShock)
    • uruchomienie skanowania skryptów PHP (Skaner PHP)
    • uruchomienie serwera proxy (SOCKS5 Proxy)

Wysyłając powtarzające się żądania GET na stronę określoną przez cyberprzestępców, Trojan może rozpocząć atak. Co więcej, po odebraniu komendy od cyberprzestępców Linux.BackDoor.Sessox.1 może skanować atakowany serwer pod kątem podatności ShellShock, która zezwala na wykonanie dowolnego kodu na serwerze. Używając specjalnie stworzonego żądania POST, Trojan może wykonać skanowanie skryptów PHP, aby uruchomić obcy skrypt na atakowanym serwerze. W taki sposób cyberprzestępcy mogą wbudować kopię Linux.BackDoor.Sessox.1 w atakowany system, zapewniając dalszą dystrybucję Trojana.

Sygnatura Linux.BackDoor.Sessox.1 została dodana do bazy wirusów Dr.Web, dzięki czemu ten złośliwy program nie stanowi już zagrożenia dla komputerów chronionych przez oprogramowanie Dr.Web.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A