Новый троянец для Linux атакует сайты

Понедельник, 13 Апреля 2015 г. 17:30 + в цитатник

13 апреля 2015 года

Специалисты компании «Доктор Веб» исследовали нового троянца, способного заражать операционные системы семейства Linux. Данная вредоносная программа имеет возможность сканировать удаленные веб-сайты на наличие уязвимостей, а также атаковать заданные ресурсы по протоколу HTTP. Примечательной особенностью троянца является то обстоятельство, что злоумышленники могут управлять им с помощью протокола для обмена текстовыми сообщениями IRC.

Вредоносная программа, получившая наименование Linux.BackDoor.Sessox.1, регистрирует себя на инфицированной машине в параметрах автозагрузки. Затем троянец подключается к управляющему серверу, на котором работает чат, поддерживающий обмен текстовыми сообщениями по протоколу IRC (Internet Relay Chat), — в этом чате бот и получает команды от злоумышленников. Среди поддерживаемых троянцем команд можно перечислить следующие:

зайти в чат-канал IRC с заданными регистрационными данными;
передать на IRC-канал информацию о времени работы инфицированной машины (аптайм);
сменить ник на заданный;
отправить на сервер сообщение PONG (в ответ на команду PING);
выполнить одну из специальных функций:
- начать атаку на заданный сайт с использованием повторяющихся GET-запросов (HTTP Flooder);
- начать сканирование на наличие ShellShock-уязвимости (ShellShock Scanner);
- начать сканирование PHP-сценариев (PHP Scanner);
- запустить прокси-сервер (SOCKS5 Proxy).

Троянец способен атаковать заданный злоумышленниками веб-узел Интернета путем отправки на него повторяющихся GET-запросов. Также по команде Linux.BackDoor.Sessox.1 может выполнять сканирование атакуемого сервера на наличие ShellShock-уязвимости, которая позволяет удаленно выполнить на этом сервере произвольный код. Схожим образом вредоносная программа может осуществлять сканирование PHP-сценариев с помощью специальным образом сформированных POST-запросов с аналогичной целью — запуск на уязвимом сервере стороннего скрипта. Таким образом, в частности, злоумышленники могут установить в скомпрометированной системе копию троянца Linux.BackDoor.Sessox.1, обеспечив его дальнейшее распространение.

Сигнатура троянца Linux.BackDoor.Sessox.1 добавлена в вирусную базу Dr.Web, поэтому он не представляет опасности для пользователей.

Подробности о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/cF23I9LXzOw/

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post359306535/">РќРѕРІС‹Р№ С‚СЂРѕСЏРЅРµС† РґР»СЏ Linux Р°С‚Р°РєСѓРµС‚ СЃР°Р№С‚С‹</a><br/>13 Р°РїСЂРµР»СЏ 2015 РіРѕРґР°
РЎРїРµС†РёР°Р»РёСЃС‚С‹ РєРѕРјРїР°РЅРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РёСЃСЃР»РµРґРѕРІР°Р»Рё РЅРѕРІРѕРіРѕ С‚СЂРѕСЏРЅС†Р°, СЃРїРѕСЃРѕР±РЅРѕРіРѕ Р·Р°СЂР°Р¶Р°С‚СЊ РѕРїРµСЂР°С†РёРѕРЅРЅС‹Рµ СЃРёСЃС‚РµРјС‹ СЃРµРјРµР№СЃС‚РІР° Linux. Р”Р°РЅРЅР°СЏ РІСЂРµРґРѕРЅРѕСЃРЅР°СЏ РїСЂРѕРіСЂР°РјРјР° РёРјРµРµС‚ РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊ СЃРєР°РЅРёСЂРѕРІР°С‚СЊ СѓРґР°Р»РµРЅРЅС‹Рµ РІРµР±-СЃР°Р№С‚С‹ РЅР° РЅР°Р»РёС‡РёРµ СѓСЏР·РІРёРјРѕСЃС‚РµР№, Р° С‚Р°РєР¶Рµ Р°С‚Р°РєРѕРІР°С‚СЊ Р·Р°РґР°РЅРЅС‹Рµ СЂРµСЃСѓСЂСЃС‹ РїРѕ РїСЂРѕС‚РѕРєРѕР»Сѓ HTTP. РџСЂРёРјРµС‡Р°С‚РµР»СЊРЅРѕР№ РѕСЃРѕР±РµРЅРЅРѕСЃС‚СЊСЋ С‚СЂРѕСЏРЅС†Р° СЏРІР»СЏРµС‚СЃСЏ С‚Рѕ РѕР±СЃС‚РѕСЏС‚РµР»СЊСЃС‚РІРѕ, С‡С‚Рѕ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРё РјРѕРіСѓС‚ СѓРїСЂР°РІР»СЏС‚СЊ РёРј СЃ РїРѕРјРѕС‰СЊСЋ РїСЂРѕС‚РѕРєРѕР»Р° РґР»СЏ РѕР±РјРµРЅР° С‚РµРєСЃС‚РѕРІС‹РјРё СЃРѕРѕР±С‰РµРЅРёСЏРјРё IRC.
Р’СЂРµРґРѕРЅРѕСЃРЅР°СЏ РїСЂРѕРіСЂР°РјРјР°, РїРѕР»СѓС‡РёРІС€Р°СЏ РЅР°РёРјРµРЅРѕРІР°РЅРёРµ Linux.BackDoor.Sessox.1, СЂРµРіРёСЃС‚СЂРёСЂСѓРµС‚ СЃРµР±СЏ РЅР° РёРЅС„РёС†РёСЂРѕРІР°РЅРЅРѕР№ РјР°С€РёРЅРµ РІ РїР°СЂР°РјРµС‚СЂР°С… Р°РІС‚РѕР·Р°РіСЂСѓР·РєРё. ... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post359306535/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

Новый троянец для Linux атакует сайты