Новый вредонос атакует Linux и Windows системы


CERTСпециалисты из CERT, в результате исследования установили, что злоумышленники внедряют в системы Linux и Windows вредоносное ПО, направленное на дальнейшее осуществление DDoS-атак.

Выяснили, что для вирус Linux, представляет опасность только для тех версий систем, которые позволяют удаленный SSH-доступ и имеют слабые пароли защиты.

Специалистам попал в руки статистически скомпонованный 32-битный файл ELF, который работает в режиме демона и подключается к C&C-серверу посредством использования зашифрованного IP-адреса и порта.

После первого запуска вредоносное ПО передает данные злоумышленникам об операционной системе и ждет поступления от них дальнейших команд.

Изучив детально вредоносный код, исследователи установили, что вирус позволяет осуществить DDoS-атаки четырех типов. Среди них особое внимание заслуживает атака DNS Amplification - атака, в рамках которой на DNS-сервер отправляется запрос, содержащий 256 случайных или заранее определенных поисковых запросов.

Интересно, но во время проведения атаки вредонос постоянно обращается к серверу злоумышленников, передавая данные о:

  • запускаемых процессах;
  • скорости процессора;
  • загрузке системы;
  • скорости сетевого подключения.


Вредонос, предназначенный для Windows-версий, устанавливается в директорию:

  • C:\Program Files\DbProtectSupport\svchost.exe

и запускается вместе с системой.

Отличается Windows-вредонос от Linux-версии тем, что вирус для Windows подключается к C&C-серверу через доменное имя, а не IP-адрес. При этом используется один и тот же сервер.


Обновлено (19.12.2013 17:47)