Доктор Веб: В мае нынешнего года эксперты зафиксировали рекордное количество троянов для Linux
Вопреки бытующему мнению о том, что ОС, созданные не базе ядра Linux, защищены от внедрения вредоносного ПО, в нынешнем месяце эксперты из «Доктор Веб» зафиксировали и исследовали рекордное количество троянов для Linux. Примечательно, что практически все они предназначены для осуществления DDoS-атак с использованием разных протоколов.
Одним из таких троянов является вредонос, идентифицируемый «Доктор Веб» как Linux.DDoS.3, способный определять адрес C&C-сервера и отправлять на него информацию о зараженной системе. Получив от злоумышленников дальнейшие задачи и выполнив их, он отправляет отчет. С помощью этого вредоносного ПО киберпреступники могут осуществлять DDoS-атаки на заданный сервер, используя TCP/IP (TCP flood), UDP (UDP flood). Для того чтобы усилить эффективность атаки, троян отправляет запросы на серверы DNS.
Модификациями вредоноса являются Linux.DDoS.22 и Linux.DDoS.24, предназначенные для DDoS-атак с удаленного узла по команде. Первый из них рассчитан на дистрибутивы Linux для процессоров ARM, второй – на 32-разрядные версии Ubuntu и CentOS. Трояны собирают данные об аппаратной конфигурации инфицированного компьютера и отправляют их в зашифрованном виде на C&C-сервер, подконтрольный злоумышленникам.
Вредоносное ПО семейства Linux.DnsAmp, исследованное экспертами, использует сразу два C&C-сервера и могут заражать как 32-разрядные, так и 64-разрядные версии Linux. Для них характерна отправка специально сформированного пакета на атакуемый узел до тех пор, пока он не перестанет отвечать на запросы, установка соединения с атакуемым узлом через UDP и отправка жертве тысячи сообщений, формирование эхо-запроса при помощи ICMP и отправка запросов на серверы DNS и NTP.
Для ARM-совместимых дистрибутивов Linux эксперты обнаружили троян Linux.Mrblack, предназначенный для осуществления DDoS-атак с использованием протоколов TCP/IP и HTTP.
Одним из таких троянов является вредонос, идентифицируемый «Доктор Веб» как Linux.DDoS.3, способный определять адрес C&C-сервера и отправлять на него информацию о зараженной системе. Получив от злоумышленников дальнейшие задачи и выполнив их, он отправляет отчет. С помощью этого вредоносного ПО киберпреступники могут осуществлять DDoS-атаки на заданный сервер, используя TCP/IP (TCP flood), UDP (UDP flood). Для того чтобы усилить эффективность атаки, троян отправляет запросы на серверы DNS.
Модификациями вредоноса являются Linux.DDoS.22 и Linux.DDoS.24, предназначенные для DDoS-атак с удаленного узла по команде. Первый из них рассчитан на дистрибутивы Linux для процессоров ARM, второй – на 32-разрядные версии Ubuntu и CentOS. Трояны собирают данные об аппаратной конфигурации инфицированного компьютера и отправляют их в зашифрованном виде на C&C-сервер, подконтрольный злоумышленникам.
Вредоносное ПО семейства Linux.DnsAmp, исследованное экспертами, использует сразу два C&C-сервера и могут заражать как 32-разрядные, так и 64-разрядные версии Linux. Для них характерна отправка специально сформированного пакета на атакуемый узел до тех пор, пока он не перестанет отвечать на запросы, установка соединения с атакуемым узлом через UDP и отправка жертве тысячи сообщений, формирование эхо-запроса при помощи ICMP и отправка запросов на серверы DNS и NTP.
Для ARM-совместимых дистрибутивов Linux эксперты обнаружили троян Linux.Mrblack, предназначенный для осуществления DDoS-атак с использованием протоколов TCP/IP и HTTP.