Новости
09.11.2018
01.11.2018
26.10.2018
16.10.2018
27.08.2018
02.04.2018
22.03.2018
26.01.2018
04.10.2017
09.08.2017
07.08.2017
31.07.2017
20.07.2017
11.07.2017
08.06.2017
02.06.2017
01.06.2017
29.05.2017
25.05.2017
23.05.2017
20.05.2017
19.05.2017
20.04.2017
14.04.2017
10.04.2017
04.04.2017
31.03.2017
30.03.2017
22.03.2017
21.03.2017
20.03.2017
03.03.2017
02.03.2017
01.03.2017
11.02.2017
22.12.2016
21.12.2016
09.12.2016
06.12.2016
24.11.2016
15.11.2016
27.10.2016
12.10.2016
11.10.2016
11.10.2016
30.09.2016
27.09.2016
27.09.2016
23.09.2016
21.09.2016
20.09.2016
16.09.2016
06.09.2016
06.09.2016
06.09.2016
29.08.2016
24.08.2016
23.08.2016
19.08.2016
19.08.2016
16.08.2016
12.08.2016
11.08.2016
11.08.2016
08.08.2016
03.08.2016
02.08.2016
20.07.2016
19.07.2016
01.07.2016
23.06.2016
23.06.2016
14.06.2016
04.06.2016
31.05.2016
24.05.2016
23.05.2016
28.04.2016
27.04.2016
27.04.2016
26.04.2016
15.04.2016
11.04.2016
06.04.2016
01.04.2016
01.04.2016
28.03.2016
11.03.2016
04.03.2016
02.03.2016
18.02.2016
14.01.2016
14.01.2016
24.12.2015
19.11.2015
11.11.2015
03.11.2015
29.10.2015
21.10.2015
25.09.2015
14.09.2015
19.08.2015
10.08.2015
08.07.2015
02.07.2015
25.06.2015
11.06.2015
29.05.2015
27.05.2015
28.04.2015
25.03.2015
11.02.2015
10.02.2015
05.02.2015
01.12.2014
28.11.2014
20.10.2014
19.09.2014
29.08.2014
19.08.2014
23.07.2014
22.07.2014
22.07.2014
10.07.2014
08.07.2014
«Доктор Веб» предупреждает: самораспространяющийся троянец для Linux организует ботнеты

Операционные системы семейства Linux все чаще подвергаются заражению вредоносными программами. Вирусные аналитики компании «Доктор Веб» исследовали еще одного Linux-троянца, написанного на языке Go. Он умеет атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Новый троянец получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого троянца, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются.

Современные ботнеты условно делятся на два типа. Первый получает команды с управляющих серверов, второй работает без них, напрямую передавая информацию от одного зараженного узла к другому. Linux.Rex.1 организует бот-сети второго типа. Они называются одноранговыми, пиринговыми или P2P-сетями (от англ. peer-to-peer, «равный к равному»). В архитектуре Linux.Rex.1 имеется собственная реализация протокола, позволяющего обмениваться информацией с другими зараженными узлами и создавать таким образом децентрализованный P2P-ботнет. Сам зараженный компьютер при запуске троянца работает как один из узлов этой сети.

Троянец принимает от других инфицированных компьютеров управляющие директивы по протоколу HTTPS и при необходимости передает их другим узлам ботнета. По команде Linux.Rex.1 начинает или останавливает DDoS-атаку на узел с заданным IP-адресом. С помощью специального модуля троянец сканирует сеть в поисках веб-сайтов, на которых установлены системы управления контентом Drupal, Wordpress, Magento, JetSpeed и другие. Также он ищет сетевое оборудование под управлением операционной системы AirOS. Linux.Rex.1 использует известные уязвимости в этих программных продуктах, чтобы получить список пользователей, закрытые SSH-ключи, логины и пароли, хранящиеся на удаленных узлах. Хотя сделать это возможно далеко не всегда.

Еще одна функция Linux.Rex.1 — рассылка сообщений по электронной почте. В этих письмах злоумышленники угрожают владельцам веб-сайтов организовать на них DDoS-атаку. Если письмо попало не по адресу, киберпреступники просят получателя переслать его ответственному сотруднику компании, которой принадлежит сайт. Чтобы избежать атаки, потенциальной жертве предлагается заплатить выкуп в криптовалюте биткойн.

Для взлома сайтов, работающих под управлением Drupal, используется известная уязвимость этой CMS. С помощью SQL-инъекции троянец авторизуется в системе. Если взлом удался, Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее. Таким образом в Linux.Rex.1 реализована саморепликация — возможность автоматического распространения без участия пользователей.

Linux.Rex.1 представляет серьезную опасность для владельцев веб-сайтов, а также пользователей устройств под управлением Linux. Сигнатура Linux.Rex.1 добавлена в базы Антивируса Dr.Web для Linux, этот троянец детектируется и удаляется антивирусными продуктами «Доктор Веб».

 

Источник: www.drweb.ru