Nowy trojan dla Linuxa

Trojan Linux.DDoS.93 został stworzony do atakowania komputerów działających pod kontrolą systemu operacyjnego Linux. Prawdopodobnie jest rozpowszechniany z użyciem zestawu podatności ShellShock obecnych w GNU Bash.

Uruchomiony Linux.DDoS.93 próbuje zmienić zawartość katalogów systemowych, aby zapewnić sobie automatyczne uruchamianie się. Następnie trojan sprawdza, czy w zainfekowanym komputerze są obecne inne kopie Linux.DDoS.93 i jeśli je wykryje - zamyka je.

Trojan Linux.DDoS.93 tworzy dwa procesy podrzędne. Pierwszy z nich jest odpowiedzialny za wymianę danych z serwerem kontrolno-zarządzającym. Drugi weryfikuje, czy proces nadrzędny działa w nieskończonej pętli (jeśli nie, to uruchamia go). Proces nadrzędny robi później to samo względem procesów podrzędnych — tym samym trojan jest w stanie działać na zainfekowanej maszynie bez żadnych przerw.

Linux.DDoS.93 potrafi wykonywać następujące komendy:

• Aktualizacja złośliwego programu

• Pobranie i uruchomienie pliku określonego w poleceniu

• Usunięcie siebie samego

• Uruchomienie na określonym porcie ataku UDP flood

• Uruchomienie na losowo wybranym porcie ataku UDP flood 

• Uruchomienie ataku Spoofed UDP flood

• Uruchomienie ataku TCP flood

• Uruchomienie ataku TCP flood (do pakietów są dodawane losowe dane o długości do 4096 bajtów)

• Uruchomienie ataku HTTP flood z użyciem żądań GET

• Uruchomienie ataku HTTP flood z użyciem żądań POST

• Uruchomienie ataku HTTP flood z użyciem żądań HEAD

• Wysyłanie żądań HTTP z określonymi parametrami na 255 losowych adresów IP

• Przerwanie działania

• Wysłanie komendy PING 

Gdy trojan otrzymuje komendę uruchomienia ataku DDoS lub wysłania losowych żądań, kończy on najpierw pracę wszystkich procesów podrzędnych, a następnie uruchamia 25 nowych, które potem przeprowadzają zlecone przez cyberprzestępców ataki. Sygnatura Linux.DDoS.93 została dodana do bazy wirusów Dr. Web, tym samym użytkownicy Dr.Web dla Linuxa są objęci ochroną przed tym zagrożeniem.