Домой Новости Новости в мире Linux Троян-майнер для Linux удаляет антивирусы
6 ответ(ов) в теме
Sergey.Viking
 
Зеленый
не в сети 17 часов
На сайте с 10.02.2018
Участник
Тем 4
Сообщения 9
1
14:04

Специалисты «Доктор Веб» обнаружили трояна, предназначенного для добычи криптовалюты, который может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Угроза получила идентификатор Linux.BtcMine.174 и представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

Малварь состоит из нескольких компонентов. Так, при запуске троян проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троян использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий трояна Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.
Скрипт
После установки малварь ищет в системе конкурирующие майнеры и при обнаружении завершает их процессы. Если троян не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплоитов. Аналитики «Доктор Веб» выявили как минимум две эксплуатируемых им проблемы: это CVE-2016-5195 (она же DirtyCow) и CVE-2013-2094. При этом загруженные из интернета исходники эксплоита для DirtyCow троян компилирует прямо на зараженной машине.

После вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения малварь не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.

Затем троян регистрирует себя в автозагрузке, скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троян собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.

Выполнив все эти действия, троян, наконец, запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту малварь проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его снова. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.

0
Sergey.Viking
 
Зеленый
не в сети 17 часов
На сайте с 10.02.2018
Участник
Тем 4
Сообщения 9
2
14:10

источник -

Вы не можете просматривать опубликованные ссылки
0
Руслан
 
Часто захожу
не в сети 10 часов
На сайте с 10.06.2016
Модератор
Тем 14
Сообщения 43
3
14:14

Хакеры не спят.
Спасибо за новость.

0
Пользуюсь Ubuntu 18.04,Kde Neon и другими операционными системами Linux
Sergey.Viking
 
Зеленый
не в сети 17 часов
На сайте с 10.02.2018
Участник
Тем 4
Сообщения 9
4
22:05

Да, не спят... Стали к Линуксам подбираться, пока только к серверным. Слегка тревожно...

0
Руслан
 
Часто захожу
не в сети 10 часов
На сайте с 10.06.2016
Модератор
Тем 14
Сообщения 43
5
23:23

Скоро и до десктопов доберутся.

0
Пользуюсь Ubuntu 18.04,Kde Neon и другими операционными системами Linux
Sergey.Viking
 
Зеленый
не в сети 17 часов
На сайте с 10.02.2018
Участник
Тем 4
Сообщения 9
6
11:12

Да, если пролезть в репозитории (как было с репозиторием Arch) и нагадить там как следует, а тем более в ядро (атака на
kernel.org) внедрить гадость какую-то, то можно потом скомпрометировать Линукс, как незащищённую систему, ненадёжную, и всё такое. Кому это нужно? Естественно, корпорациям типа Майкрософта и других, кому Линукс мешает жить и зарабатывать деньги. Так что вполне возможно, что хакеры работают на корпорации...

0
Вы не имеете права на публикацию сообщений в этой теме
Авторизация
*
*
 
Регистрация
*
*
*
*
 
Генерация пароля