Вирусы, вирусы, вирусы…

Алексей Комолов (С.-Петербург)

BIGITALRU_post-(2)

Вредносный код Sshdkit атакует Linux-серверы

В антивирусной компании «Доктор Веб» сегодня рассказали о новом необычном Linux-вредоносе, взламывающмм веб-серверы. Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux.

Механизм распространения троянца пока еще до конца не изучен, однако имеются основания полагать, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам «Доктор Веб» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно длительного времени.

После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию.

Специалистам удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.

Русский вирус-блокировщик использует для обмана пользователей Windows PowerShell

Исследователям из SophosLabs недавно удалось обнаружить вредоносное приложение, блокирующее работу компьютера и вымогающее деньги за возвращение доступа к операционной системе.

«Один из наших клиентов предоставил образец вируса-вымогателя, который сразу же нас заинтересовал, поскольку он использует Windows PowerShell для шифрования файлов», — сообщают эксперты.

Windows PowerShell – это язык сценариев, разработанный компанией Microsoft и предназначенный для использования системными администраторами в целях автоматизации определенных задач. Это программное обеспечение предустановлено в ОС начиная с Windows 7 и может быть установлено на более ранние версии.

По данным SophosLabs, обнаруженный ими вирус использует распространенный алгоритм шифрования Rijndael, содержащийся в Windows PowerShell (функция «CreateEncryptor()»). Кроме того, исследователи сообщают, что вредоносное приложение, вероятнее всего было создано русскими вирусописателями, поскольку мошенническая схема ориентирована только на носителей этого языка.

Всплеск заражений компьютеров Trojan.Hosts

Российская компания «Доктор Веб» сообщила о том, что за последнее время участились взломы web-сайтов с целью загрузки на компьютеры пользователей вредоносного ПО семейства Trojan.Hosts. В середине прошлого месяца распространение трояна достигло своего пика, заражая в сутки 9 500 компьютеров. В текущем месяце ежедневно заражается 8 тысяч систем.

Эксперты сообщили, что для распространения Trojan.Hosts злоумышленники похищают логины и пароли пользователей, после чего при помощи протокола FTP подключаются к интернет-ресурсам. Затем на взломанный сайт загружается специальный командный интерпретатор и изменяется файл .htacess, а на сайте размещается вредоносный скрипт, который перенаправляет посетителю на web-страницу, содержащую ссылки на различные вредоносные приложения.