Linux под прицелом DDoS-троянов

DDoSВ этом месяце инженеры производителя антивирусной продукции, компании «Доктор Веб» выявили и изучили огромное количество (фактически был установлен рекорд, если сравнить с прошлыми месяцами) троянов для ОС Linux, причем большая часть используется для организации DDoS-атак. Их объединяет несколько моментов. Первый – они задействуются для проведения DDoS-атак, используя разнообразные протоколы. Второй – у них один и тот же автор, правда на это указывают лишь косвенные признаки.

Рассмотрим несколько примеров обнаруженных вредоносных программ.

Linux.DDoS.3 имеет весьма значительным количеством функциональных возможностей. После начала работы, он обнаруживает адрес командного сервера, посылает на него данные об инфицированной системе и переходит в режим ожидания с целью получения конфигурационной информации с параметрами текущей задачи (также злоумышленники получают и отчет о ее выполнении). С помощью этого трояна можно провести DDoS-атаки на ключевой сервер, используя протоколы TCP/IP, UDP (TCP и UDP флуд). Для усиления эффективности атак может отправить запросы на DNS-сервера (DNS Amplification).

Linux.DDoS.22 это еще одна модификация, предназначенная для дистрибутивов Linux, работающих с процессорами ARM. 32-битные ОС Ubuntu и CentOS, на которых работают серверы и специализированные компьютеры, являются излюбленными местами для Linux.DDoS.24. Он внедряется в систему под названием pktmake и сразу же регистрирует себя в параметрах автозапуска ОС, после чего начинает собирать данные касательно аппаратной конфигурации (в частности маркировку процессора и объем памяти), и посылает ее в зашифрованном виде преступникам на их компьютеры. Linux.DDoS.24 используется хакерами для DDoS-атак по указанию с удаленного компьютера.

Также специалисты «Доктор Веб» опубликовали информации о группе вирусов, которая включает пять версий троянов Linux.DnsAmp. Часть из них могут использовать одновременно два управляющих сервера и подвергнуть инфицированию как 32-битные (Linux.DnsAmp.1, 3 и 5), так и 64-битные (Linux.DnsAmp.2 и 4) версии. Как и другие типы троянов, они себя регистрируют в автозапуске, собирают и посылают на удаленный узел собранные данные. Linux.DnsAmp.3 и 4 (для 32- и 64-битных версий соответственно) являют собой модифицированный Linux.DnsAmp первой версии с достаточно упрощённой системой команд. Т.е., данные виды трояна могут исполнять три команды от управляющего сервера: дать старт DDoS-атаке, оставить ее и загрузить данные в файл журнала, а большинство этих троянов управляются одними и теми же серверами. Для ARM-версий Linux существует троянец Linux.Mrblack, который используется для совершения DDoS-атак с задействованием протоколом TCP/IP и HTTP. У него весьма простая архитектура, и как его собратья, он работает по команде с управляющего сервера.

Управление описанными выше троянскими программами осуществляется из серверов, расположенных на территории КНР (подавляющее большинство), а основными их целями стают китайские веб-порталы. Все они уже внесены в базы антивируса Dr.Web и потому пользователи могут не беспокоиться за свои компьютеры.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Имя
E-mail

 

Комментарии к записи Linux под прицелом DDoS-троянов