Лучшие приложения.
Лучшие приложения.
Лучшие приложения.
Лучшие приложения.

Семейство опасных Linux-троянцев устраивает DDoS-атаки





Аналитики «Доктор Веб» исследовали троянца Linux.Mirai, который используется для организации DDoS-атак. Об этом 27 сентября сообщается в блоге компании. Более ранние модификации этой вредоносной программы уже были изучены, поэтому в обновленной версии Linux.Mirai специалисты смогли найти признаки предыдущих версий и даже характерные черты троянцев других семейств.

Первая версия вредоносной программы для Linux, которая впоследствии получила название Linux.Mirai, появилась еще в мае 2016 года и была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87. Этот троянец, способный работать на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K, предназначен для организации атак на отказ в обслуживании, то есть DDoS-атак.

Linux.DDoS.87 содержит в своем коде ряд ошибок, которые были устранены вирусописателями в последующих версиях. Этот троянец имеет определенное сходство с вредоносными программами семейства Linux.BackDoor.Fgt, об одном из представителей которого мы уже писали в ноябре 2014 года. После запуска на зараженном устройстве Linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы избежать случайной остановки собственного процесса, троянец создает в своей папке файл с именем .shinigami и периодически проверяет его наличие. Затем Linux.DDoS.87 пытается установить соединение со своим управляющим сервером для получения дальнейших инструкций. На сервер отправляется идентификатор, определяющий архитектуру инфицированного компьютера, и сведения о MAC-адресе сетевой карты.

По команде злоумышленников Linux.DDoS.87 способен выполнять следующие виды DDoS-атак:

- UDP flood;
- UDP flood over GRE;
- DNS flood;
- TCP flood (несколько разновидностей);
- HTTP flood.

Максимальный срок непрерывной работы Linux.DDoS.87 на инфицированной машине составляет одну неделю, по истечении которой троянец завершает собственный процесс.

В начале августа 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую версию этого опасного троянца, получившую наименование Linux.DDoS.89. Эта вредоносная программа имеет множество общих черт со своей предшественницей, однако прослеживаются и характерные отличия от Linux.DDoS.87. Например, в обновленной версии изменился порядок действий при запуске троянца. Механизм защиты от выгрузки собственного процесса также претерпел изменения: теперь вредоносная программа не пытается определить наличие специального файла в собственной папке, а выполняет проверку на основе идентификатора процесса (PID). Среди отсылаемой Linux.DDoS.89 на управляющий сервер информации отсутствует МАС-адрес сетевого адаптера. Кроме того, из списка поддерживаемых типов атак исчез HTTP flood. В то же время формат получаемых от злоумышленников команд остался прежним. Кроме того, в Linux.DDoS.89 появился новый компонент — telnet-сканнер, который ранее использовался во всех версиях Linux.BackDoor.Fgt. Этот сканер предназначен для поиска в сети уязвимых устройств и несанкционированного подключения к ним по протоколу telnet.

В конце августа – начале сентября была обнаружена еще одна обновленная версия этого троянца, получившая название Linux.Mirai. В некоторых образцах вредоносной программы появилась функция самоудаления. Троянец научился отключать предотвращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вернулся HTTP flood. Тем не менее, Linux.Mirai во многом похож на своих предшественников.

Некоторые исследователи сообщили в своих публикациях, что если Linux.Mirai удается обнаружить в сети уязвимое telnet-устройство, троянец выполняет зашитый в его тело bash-сценарий. Такое поведение действительно характерно для Linux.BackDoor.Fgt, однако ни в одном из образцов Linux.Mirai, имеющихся в распоряжении вирусных аналитиков «Доктор Веб», подобного сценария обнаружить не удалось.
Автор: Softodrom.ru
Дата:
Новые публикации: Новости НеWindows
10.01.2020 22:54

Линус Торвальдс раскритиковал файловую систему ZFS

Создатель Linux Линус Торвальдс призвал отказаться от использования файловой системы ZFS

08.12.2019 19:12

Уязвимая, но не Windows. В OpenBSD закрыли множественные уязвимости

Многоплатформенная ОС с открытым кодом OpenBSD обеспечивает работу многих элементов IT-инфраструктуры, которые требуют дополнительной защиты

16.11.2019 08:20

Впервые в мире газета полностью перешла на свободное ПО

В результате был создан собственный дистрибутив на базе Kubuntu, включающий в себя такие альтернативы проприетарному ПО как Scribus, Gimp, Inkscape, Krita и Shotwell

03.10.2019 17:10

Ядро Linux защитят от пользовательских процессов

Разработчики Linux добавили в операционную систему модуль изоляции ядра, исключающий доступ к ключевым частям кода на пользовательском уровне

07.07.2019 15:48

Выпущена ОС Debian 10

Разработчики операционной системы Debian объявили о релизе стабильной 10-й версии, получившей кодовое имя «Buster»

Популярные статьи: Новости НеWindows
07.11.2003 00:00

Lindows 4.0 на удивление хороша

После недели тестирования Lindows я был слегка удивлен тем, что мне понравилась эта операционная система

22.07.2017 22:05

Endless OS 3.2 вышла тихо и незаметно

Endless OS примечателен максимально простой схемой дистрибуции

26.09.2015 17:55

Видео: ОС NeoKylin – китайский клон Windows XP на базе Linux

Национальную китайскую операционную систему скопировали с Windows XP

10.01.2020 22:54

Линус Торвальдс раскритиковал файловую систему ZFS

Создатель Linux Линус Торвальдс призвал отказаться от использования файловой системы ZFS

13.08.2008 20:53

Linspire больше не существует

Linspire, коммерческий дистрибутив GNU/Linux, ранее известный как Lindows, прекратил свое существование

» Оставьте первым свой комментарий

Новости /
Новости НеWindows /
Семейство опасных Linux-троянцев устраивает DDoS-атаки
Все рубрики статей:

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».