Doctor Web ostrzega przed nowym trojanem dla Linuxa

Ataki DDoS (Distributed Denial of Service) są najpopularniejszym sposobem atakowania zasobów sieciowych przez cyberprzestępców. Zaatakowany serwer otrzymuje tak wiele przychodzących żądań, że nie jest w stanie poradzić sobie z ilością zapytań i kończy swoją pracę. Do realizacji takich ataków, cyberprzestępcy często używają specjalnego złośliwego programu. Jeden z nich, nazwany Linux.DDoS.93, został wykryty przez analityków bezpieczeństwa Doctor Web.

Trojan Linux.DDoS.93 został stworzony do atakowania komputerów działających pod kontrolą systemu operacyjnego Linux. Prawdopodobnie jest rozpowszechniany z użyciem zestawu podatności ShellShock obecnych w GNU Bash.

Uruchomiony Linux.DDoS.93 próbuje zmienić zawartość katalogów systemowych, aby zapewnić sobie automatyczne uruchamianie się. Następnie trojan sprawdza, czy w zainfekowanym komputerze są obecne inne kopie Linux.DDoS.93 i jeśli je wykryje - zamyka je.

Trojan Linux.DDoS.93 tworzy dwa procesy podrzędne. Pierwszy z nich jest odpowiedzialny za wymianę danych z serwerem kontrolno-zarządzającym. Drugi weryfikuje, czy proces nadrzędny działa w nieskończonej pętli (jeśli nie, to uruchamia go). Proces nadrzędny robi później to samo względem procesów podrzędnych — tym samym trojan jest w stanie działać na zainfekowanej maszynie bez żadnych przerw.

Linux.DDoS.93 potrafi wykonywać następujące komendy:

  • Aktualizacja złośliwego programu
  • Pobranie i uruchomienie pliku określonego w poleceniu
  • Usunięcie siebie samego
  • Uruchomienie na określonym porcie ataku UDP flood
  • Uruchomienie na losowo wybranym porcie ataku UDP flood
  • Uruchomienie ataku Spoofed UDP flood
  • Uruchomienie ataku TCP flood
  • Uruchomienie ataku TCP flood (do pakietów są dodawane losowe dane o długości do 4096 bajtów)
  • Uruchomienie ataku HTTP flood z użyciem żądań GET
  • Uruchomienie ataku HTTP flood z użyciem żądań POST
  • Uruchomienie ataku HTTP flood z użyciem żądań HEAD
  • Wysyłanie żądań HTTP z określonymi parametrami na 255 losowych adresów IP
  • Przerwanie działania
  • Wysłanie komendy PING

Gdy trojan otrzymuje komendę uruchomienia ataku DDoS lub wysłania losowych żądań, kończy on najpierw pracę wszystkich procesów podrzędnych, a następnie uruchamia 25 nowych, które potem przeprowadzają zlecone przez cyberprzestępców ataki.

Źródło: Doctor Web