Новый Linux-троянец используется для DDoS-атак
Новости Безопасность
Компания «Доктор Веб» сообщает об обнаружении опасного Linux-троянца, обладающего способностью заражать компьютеры и различные устройства, работающие под управлением ОС семейства Linux. Данная вредоносная программа, добавленная в вирусные базы под именем Linux.BackDoor.Fgt.1, предназначена для организации массовых DDoS-атак.
После своего запуска на инфицированном устройстве троянец проверяет наличие подключения к Интернету, обращаясь к одному из серверов Google, и, если соединение удалось установить, определяет IP и MAC-адрес инфицированного устройства. Затем Linux.BackDoor.Fgt.1 пытается связаться с командным сервером, адрес которого «зашит» в теле самого троянца, отправляя ему сведения о версии вредоносной программы. В ответ Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команду для выполнения на инфицированном устройстве. Если от управляющего сервера пришла команда PING, троянец отправляет ответ PONG и продолжает функционировать на инфицированном устройстве. При получении команды DUP Linux.BackDoor.Fgt.1 завершает свою работу.
Троянец обладает специальной функцией, с использованием которой он в течение одного цикла осуществляет сканирование 256 удаленных IP-адресов, выбранных случайным образом, при этом цикл запускается по команде злоумышленников. В процессе генерации IP-адресов Linux.BackDoor.Fgt.1 проверяет, не попадают ли они в диапазоны, которые используются для адресации внутри локальных сетей, — такие адреса игнорируются. В случае неудачи при попытке установки соединения Linux.BackDoor.Fgt.1 отправляет информацию об этом на принадлежащий злоумышленникам управляющий сервер. Если же связь установлена, вредоносная программа пытается соединиться с портом удаленного узла, используемым службой Telnet, и получить от атакуемой машины запрос логина.
Отправив на удаленный узел логин из заранее сформированного списка, Linux.BackDoor.Fgt.1 выполняет анализ поступающих от него откликов. Если среди них встречается запрос для ввода пароля, троянец пытается выполнить авторизацию методом перебора паролей по списку. В случае успеха Linux.BackDoor.Fgt.1 отсылает на управляющий сервер IP-адрес, логин и пароль устройства, к которому удалось подобрать аутентификационные данные, а на атакуемый узел направляется команда загрузки специального скрипта. Тот, в свою очередь, скачивает из Интернета и запускает во взломанной системе исполняемый файл самого троянца Linux.BackDoor.Fgt.1.
Примечательно, что на принадлежащем вирусописателям сервере имеется значительное количество исполняемых файлов Linux.BackDoor.Fgt.1, скомпилированных для разных версий и дистрибутивов Linux, в том числе для встраиваемых систем с архитектурой MIPS и SPARC-серверов. Таким образом, троянец может инфицировать не только подключенные к Интернету серверы и рабочие станции под управлением Linux, но и другие устройства, например, маршрутизаторы.
Linux.BackDoor.Fgt.1 способен выполнять целый ряд поступающих от злоумышленников команд, в том числе: запрос IP-адреса инфицированного устройства, запуск или остановка цикла сканирования, атака на заданный узел типа DNS Amplification, атака на заданный узел типа UDP Flood, атака на заданный узел типа SYN Flood.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
