Linux.Sshdkit.6 - троян, угрожающий сервера на базе ОС Linux


Linux.Sshdkit.6 - троянская программа, представляющая опасность для серверов, работающих под управлением ОС Linux.

На сегодняшний день от действий троянов данного семейства уже пострадало несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

Первые версии вредоносной программы Linux.Sshdkit были обнаружены еще в феврале 2012 года.

Семейство вредоносов Linux.Sshdkit - представляет собой динамическую библиотеку, существующую как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троян встраивается в процесс sshd и перехватывает функции аутентификации, которые впоследствии отправляются на принадлежащий злоумышленникам удаленный сервер.

По полученной информации, всего в течение мая 2013 года троян передал данные для доступа к 562 инфицированным Linux-серверам.

Обнаруженная версия трояна Linux.Sshdkit.6 представляет собой динамическую библиотеку, предназначенную для 64-битных Linux-систем. В данной версии  Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Например, вирусописатели изменили метод определения адресов серверов, на которые троян передает краденую информацию. И теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт.

Алгоритм генерации адреса командного сервера

Algoritm generacii adressa command servers LinuxSshdkit

Еще вирусописатели изменили алгоритм получения трояном команд. Теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Трояны семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер.