Компания Symantec провела анализ степени поражения систем червём Linux.Darlloz. Червь был выявлен в ноябре прошлого года и воспринимался как малоопасный прототип, так как для его распространения использовалась база из около десятка типовых паролей и эксплоит для уязвимости в CGI-режиме PHP, исправленной два года назад. Тем не менее, сканирование всего диапазона IP-адресов(!!! Делаем вывод что нас регулярно сканируют все, кому не лень), показало, что червём Linux.Darlloz уже поражено почти 32 тысяч систем.
Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http-сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути. Червь изначально рассчитан на поражение устройств, постоянно подключенных к сети и остающихся без внимания пользователей, которые часто оставляют неизменными заводские параметры входа. В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC. Тем не менее, 43% поражённых систем составили работающие под управлением Linux компьютеры и серверы на базе архитектуры x86, и только 38% – специализированные устройства.
Интересно, что в качестве одной из функций червя является майнинг криптовалюты Mincoins и Dogecoins, который выполняется только на Linux-системах с архитектурой x86 и не затрагивает специализированные устройства. При этом злоумышленникам удалось заработать на майнинге всего около 200 долларов.
Дополнительно, можно отметить увеличение интенсивности атак, направленных на поражение давно не обновляемых web-серверов на базе Linux, использующих устаревшие версии ПО. За последние дни выявлено 2700 поражённых систем, при этом 17 и 18 марта фиксировалось поражение около 400 новых хостов в день. После получения контроля над системой, вредоносное ПО осуществляет подстановку платной рекламы и кода для поражения клиентских систем на страницы сайтов, размещённые на поражённой системе. Предполагается для для распространения вредоносного ПО используется какая-то удалённая уязвимость, исправленная в свежих версиях серверного ПО, но проявляющаяся на устаревших системах.
Также выявлены новые варианты вредоносного ПО, поражающего устаревшие системы, подверженные уязвимости в CGI-режиме PHP. Анализ показал, что около 16% всех сайтов используют устаревшие версии PHP (5.3.12- и 5.4.2-), в которых не исправлена уязвимость (не сообщается сколько из этих сайтов использует PHP в режиме CGI и подвержены применению эксплоита).