Nowy Trojan dla Linuxa atakuje strony www

Analitycy bezpieczeństwa Doctor Web przebadali nowego Trojana, który potrafi infekować komputery z systemem operacyjnym Linux. Ten złośliwy program posiada zdolność do zdalnego skanowania stron www pod kątem podatności i do atakowania zasobów o określonych adresach z użyciem protokołu HTTP. Cyberprzestępcy mogą kontrolować Trojana używając protokołu przesyłania wiadomości tekstowych IRC (Internet Relay Chat).

Trojan ten, nazwany Linux.BackDoor.Sessox.1, rejestruje siebie w autostarcie zainfekowanego komputera. Następnie podłącza się do serwera kontrolno-zarządzającego, posiadającego działający moduł czatu, wspierający protokół IRC. Komendy cyberprzestępców są odbierane przez bota działającego w ramach tego czatu. Trojan potrafi wykonywać następujące polecenia:

- zalogowanie się do czatu IRC z określoną nazwą użytkownika i hasłem
- przekazanie wiadomości o czasie pracy komputera (uptime) do kanału IRC
- zmianę przydomka (nickname) na inny, określony w poleceniu
- wysłanie do serwera wiadomości PONG (w odpowiedzi na komendę PING)
- wykonanie jednej z następujących funkcji specjalnych:
- rozpoczęcie ataku na określoną stronę www z użyciem powtarzających się żądań GET (HTTP Flooder)
- uruchomienie skanowania pod kątem podatności ShellShock (Skaner ShellShock)
- uruchomienie skanowania skryptów PHP (Skaner PHP)
- uruchomienie serwera proxy (SOCKS5 Proxy)

Wysyłając powtarzające się żądania GET na stronę określoną przez cyberprzestępców, Trojan może rozpocząć atak. Co więcej, po odebraniu komendy od cyberprzestępców Linux.BackDoor.Sessox.1 może skanować atakowany serwer pod kątem podatności ShellShock, która zezwala na wykonanie dowolnego kodu na serwerze. Używając specjalnie stworzonego żądania POST, Trojan może wykonać skanowanie skryptów PHP, aby uruchomić obcy skrypt na atakowanym serwerze. W taki sposób cyberprzestępcy mogą wbudować kopię Linux.BackDoor.Sessox.1 w atakowany system, zapewniając dalszą dystrybucję Trojana.

Sygnatura Linux.BackDoor.Sessox.1 została dodana do bazy wirusów Dr.Web, dzięki czemu ten złośliwy program nie stanowi już zagrożenia dla komputerów chronionych przez oprogramowanie Dr.Web.

źródłó: Doctor Web




Dodaj komentarz