«Доктор Веб» обнаружил новый троян для Linux

image

Теги: вредоносное ПО, Linux, инфицирование

Троян обладает сложной системой проверки подлинности получаемых от сервера пакетов с зашифрованными данными.

Специалисты компании «Доктор Веб» сообщили об очередном трояне для операционной системы Linux. В функциональные возможности вредоноса, получившего наименование Linux.Rekoobe.1 (по классификации «Доктор Веб»), включают способность по команде злоумышленников скачивать и загружать на C&C-сервер различные файлы, а также взаимодействовать с командным интерпретатором Linux на инфицированном устройстве.

Первые версии вредоносного ПО были ориентированы на заражение работающих под управлением Linux-устройств с архитектурой SPARC, однако позже вирусописатели модифицировали троян, пытаясь добиться совместимости с платформой Intel.

Для получения команд троян с определенной периодичностью обращается к C&C-серверу. При определенных условиях связь осуществляется через прокси-сервер, данные для авторизации на котором вредоносная программа извлекает из зашифрованного конфигурационного файла. Вся отправляемая и принимаемая трояном информация разбивается на отдельные блоки, каждый из которых шифруется и снабжается собственной подписью.

Как отмечают специалисты «Доктор Веб», разработчики реализовали в трояне довольно сложную систему проверки подлинности получаемых от сервера пакетов с зашифрованными данными. Тем не менее, вредоносная программа способна выполнять всего три команды злоумышленников – скачивать или загружать файлы на C&C-сервер, передавать команды интерпретатору Linux и транслировать полученный вывод на удаленный сервер. Таким образом атакующие получают возможность удаленно управлять инфицированной системой.

Напомним, ранее эксперты сообщали об обнаружении троянов-шифровальщиков семейства Linux.Encoder. Вредоносы шифруют определенные файлы в каталогах, обычно связанных с администрированием web-серверов, и требуют оплатить разблокировку с помощью Bitcoin.

C&C-сервер (command and control server) – центральный сервер, используемый для отправки команд ботнету или скомпрометированной компьютерной сети. Сервер взаимодействует с конечными узлами ботнета по разным протоколам. Наиболее часто в качестве протокола управления используется IRC.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.