Dr. Web: Участились случаи использования трояна Hand of Thief для Linux

image

Теги: троян, вирус, новость

После успешной инсталляции троян ограничивает пользователям доступ к адресам, через которые можно загрузить обновления или антивирусное ПО.

Специалисты компании «Доктор Веб» утверждают, что злоумышленники стали активно использовать Hand of Thief. Более того, существуют специальные форумы, где можно купить программу Linux.Hanthie с внедренным трояном.

Напомним, что около двух недель назад эксперты компании  сообщили об этом трояне для дистрибутивов Linux. Он не только обладает широким функционалом, но и остается невидимым для антивирусных программ.

После успешной инсталляции вирус ограничивает пользователям доступ к адресам, через которые можно загрузить обновления или антивирусное ПО.

«Текущая версия Linux.Hanthie не обладает какими-либо механизмами самокопирования, поэтому разработчики троянца в своих сообщениях на хакерских форумах рекомендуют распространять его с использованием методов социальной инженерии. Троянец может работать в различных дистрибутивах Linux, в том числе Ubuntu, Fedora и Debian, и поддерживает восемь типов десктоп-окружений, например, GNOME и KDE», - сообщают в «Доктор Веб».

Отметим, что троян создает исполняемую библиотеку, встраиваемую во все запущенные процессы, в папке для хранения временных файлов. Если вирусу не удается встроить ее в какой-нибудь процесс, то он запускает новый исполняемый файл, который отвечает только за взаимодействие с управляющим сервером.

Программа может перехватывать HTTP и HTTPS-сессии и отправлять злоумышленникам данные из заполняемых пользователям экранных форм. Кроме того, троян может действовать как бэкдор, шифруя трафик при обмене данными с управляющим сервером.

«Троянец способен выполнить несколько команд, в частности, по команде socks он запускает на инфицированной машине прокси-сервер, по команде bind запускает скрипт для прослушивания порта, по команде bc подключается к удаленному серверу, по команде update загружает и устанавливает обновленную версию троянца, а по команде rm — самоудаляется. При попытке обращения к запущенным скриптам bind или bc троянец выводит в командной консоли следующее сообщение», - наводят пример ИБ-эксперты.


comments powered by Disqus