Опасный Linux-троян инфицирует маршрутизаторы

Автор
Опасный Linux-троян инфицирует маршрутизаторы

Компания "Доктор Веб" обнародовала результаты анализа опасной троянской программы Linux.PNScan.1.

С ее помощью киберпреступники осуществляют взлом систем управления реляционными базами данных PHPMyAdmin, а также подбор логинов и паролей для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.

Зловред способен инфицировать маршрутизаторы с архитектурой ARM, MIPS и PowerPC, работающие под управлением ОС Linux. Механизм распространения трояна достаточно своеобразен: эксперты предполагают, что изначально он устанавливался на атакуемые роутеры самими вирусописателями, например, с использованием уязвимости shellshock путём запуска сценария с соответствующими параметрами, а впоследствии его загружают и устанавливают на атакованные маршрутизаторы трояны семейства Linux.BackDoor.Tsunami, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным назначением Linux.PNScan.1 является взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры.

При запуске Linux.PNScan.1 используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак используются RCE-уязвимости с целью запуска соответствующего sh-сценария. Загружаемые зловредом вредоносные приложения представляют собой многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (в том числе ACK Flood, SYN Flood ,UDP Flood), а также выполнять поступающие от злоумышленников команды.

На используемом злоумышленниками сервере обнаружены и другие вредоносные программы. Это, в частности, троян Trojan.Mbot, предназначенный для взлома веб-сайтов, работающих с системами управления контентом WordPress, Joomla, а также использующих ПО для организации интернет-магазина osCommerce. Ещё один троян получил наименование Perl.Ircbot.13 — он предназначен для поиска уязвимостей на сайтах, работающих с системами управления контентом WordPress, Joomla, e107, WHMCS, а также использующих ПО для организации интернет-магазинов Zen Cart и osCommerce. На сервере также найдена программа для массовой рассылки спама Perl.Spambot.2, которая использовалась злоумышленниками для отправки фишинговых сообщений якобы от имени международной платёжной системы VISA.

Всего вирусным аналитикам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше инструментов.