Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

«Доктор Веб» исследовал двух троянцев для Linux

5 июня 2017 года

Вирусные аналитики компании «Доктор Веб» исследовали две вредоносные программы для ОС Linux. Одна из них устанавливает на инфицированном устройстве приложение для добычи криптовалют, вторая — запускает прокси-сервер.

Первый из двух исследованных специалистами «Доктор Веб» троянцев был добавлен в вирусные базы Dr.Web под именем Linux.MulDrop.14. Эта вредоносная программа атакует исключительно миникомпьютеры Rasberry Pi. Распространение Linux.MulDrop.14 началось во второй половине мая. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. Linux.MulDrop.14 меняет пароль на зараженном устройстве, распаковывает и запускает майнер, после чего в бесконечном цикле начинает искать в сетевом окружении узлы с открытым портом 22. Соединившись с ними по протоколу SSH, троянец пытается запустить на них свою копию.

Другой троянец получил название Linux.ProxyM. Атаки с его использованием фиксировались еще с февраля 2017 года, но пика достигли во второй половине мая. График зафиксированного специалистами «Доктор Веб» количества атак троянца Linux.ProxyM представлен ниже.

graph #drweb

Значительная часть IP-адресов, с которых осуществляются атаки, расположена на территории России. На втором месте — Китай, на третьем — Тайвань. Распределение источников атак с использованием Linux.ProxyM по географическому признаку показано на следующей иллюстрации:

graph #drweb

Троянец использует специальный набор методов для детектирования ханипотов (от англ. honeypot – «горшочек с медом») — специальных серверов-приманок, применяемых специалистами по информационной безопасности для исследования вредоносного ПО. После старта он соединяется с управляющим сервером и, получив от него подтверждение, запускает на инфицированном устройстве SOCKS-прокси-сервер. Злоумышленники могут использовать его для обеспечения собственной анонимности в Интернете.

Оба этих троянца детектируются и удаляются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии