"Доктор Веб" обнаружил новый троян для Linux

Источник: securitylab.ru

image

Троян обладает сложной системой проверки подлинности получаемых от сервера пакетов с зашифрованными данными.

Специалисты компании "Доктор Веб" сообщили об очередном трояне для операционной системы Linux. В функциональные возможности вредоноса, получившего наименование Linux.Rekoobe.1 (по классификации "Доктор Веб"), включают способность по команде злоумышленников скачивать и загружать на C&C-сервер различные файлы, а также взаимодействовать с командным интерпретатором Linux на инфицированном устройстве.

Первые версии вредоносного ПО были ориентированы на заражение работающих под управлением Linux-устройств с архитектурой SPARC, однако позже вирусописатели модифицировали троян, пытаясь добиться совместимости с платформой Intel.

Для получения команд троян с определенной периодичностью обращается к C&C-серверу. При определенных условиях связь осуществляется через прокси-сервер, данные для авторизации на котором вредоносная программа извлекает из зашифрованного конфигурационного файла. Вся отправляемая и принимаемая трояном информация разбивается на отдельные блоки, каждый из которых шифруется и снабжается собственной подписью.

Как отмечают специалисты "Доктор Веб", разработчики реализовали в трояне довольно сложную систему проверки подлинности получаемых от сервера пакетов с зашифрованными данными. Тем не менее, вредоносная программа способна выполнять всего три команды злоумышленников - скачивать или загружать файлы на C&C-сервер, передавать команды интерпретатору Linux и транслировать полученный вывод на удаленный сервер. Таким образом атакующие получают возможность удаленно управлять инфицированной системой.

Напомним, ранее эксперты сообщали об обнаружении троянов-шифровальщиков семейства Linux.Encoder. Вредоносы шифруют определенные файлы в каталогах, обычно связанных с администрированием web-серверов, и требуют оплатить разблокировку с помощью Bitcoin.

C&C-сервер (command and control server) - центральный сервер, используемый для отправки команд ботнету или скомпрометированной компьютерной сети. Сервер взаимодействует с конечными узлами ботнета по разным протоколам. Наиболее часто в качестве протокола управления используется IRC.

Интернет-магазин
Dr.Web 11 для Windows, Mac OS X, Linux
 
 
Арсенал комплексной защиты Dr.Web 11.0 обогатился рядом технологий, позволяющих усилить защиту от атак с использованием уязвимостей «нулевого дня» и других ухищрений, которые используют злоумышленники сегодня и будут применять в будущем.

Страница сайта http://185.71.96.61
Оригинал находится по адресу http://185.71.96.61/home.asp?artId=38074