Вверх
Мобильная версия

Опасный Linux-троян инфицирует маршрутизаторы

Опасный Linux-троян инфицирует маршрутизаторы
"Троян"
02:57 Ср, 5 Август 2015 Телеграф
Фото: vk.com

Новости технологии:Компания "Доктор Веб" обнародовала результаты анализа опасной троянской программы Linux.PNScan.1.

С ее помощью киберпреступники осуществляют взлом систем управления реляционными базами данных PHPMyAdmin, а также подбор логинов и паролей для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.

Зловред способен инфицировать маршрутизаторы с архитектурой ARM, MIPS и PowerPC, работающие под управлением ОС Linux. Механизм распространения трояна достаточно своеобразен: эксперты предполагают, что изначально он устанавливался на атакуемые роутеры самими вирусописателями, например, с использованием уязвимости shellshock путём запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные маршрутизаторы трояны семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры.

При запуске Linux.PNScan.1 используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак используются RCE-уязвимости с целью запуска соответствующего sh-сценария. Загружаемые зловредом вредоносные приложения представляют собой многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (в том числе ACK Flood, SYN Flood ,UDP Flood), а также выполнять поступающие от злоумышленников команды.

На используемом злоумышленниками сервере обнаружены и другие вредоносные программы. Это, в частности, троян Trojan.Mbot, предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а также использующих ПО для организации интернет-магазина osCommerce. Ещё один троян получил наименование Perl.Ircbot.13 — он предназначен для поиска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а также использующих ПО для организации интернет-магазинов Zen Cart и osCommerce. На сервере также найдена программа для массовой рассылки спама Perl.Spambot.2, которая использовалась злоумышленниками для отправки фишинговых сообщений якобы от имени международной платёжной системы VISA.

Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов.

Новости в одном приложении: "Телеграф (Android, iOS)" - читать удобнее!
загрузка...
Новости: В Украине объявили штормовое предупреждение
В Украине объявили штормовое предупреждение
Новости: Конгресс одобрил новые санкции против России
Конгресс одобрил новые санкции против России
Новости: В Польше не утихают протесты против судебной реформы
В Польше не утихают протесты против судебной реформы
Новости: От коротких юбок и до чадры: как менялся модный образ иранских женщин за последние 110 лет (Фото)
От коротких юбок и до чадры: как менялся модный образ иранских женщин за последние 110 лет (Фото)