Эксперты компании “Доктор Веб” опубликовали анализ деятельности нового Linux-трояна, предназначенного для осуществления DDoS-атак. Как полагают исследователи, вредонос, получивший наименование Linux.DDoS.93 (по классификации “Доктор Веб”), распространяется в составе набора уязвимостей ShellShock в GNU Bash.
В процессе запуска троян изменяет содержимое ряда системных папок Linux, обеспечивая собственную автозагрузку. Далее вредоносная программа проверяет наличие на атакуемом компьютере других копий Linux.DDoS.93 и прекращает их работу, если таковые имеются.
После запуска троян создает два дочерних процесса. Первый предназначен для обмена данными с C&C-сервером злоумышленников, второй беспрерывно проверяет работает ли родительский процесс и в случае остановки повторно запускает его. В свою очередь последний также следит за дочерним процессом и по мере необходимости перезапускает его. Таким образом троян обеспечивает свою непрерывную работу на инфицированной системе.
Linux.DDoS.93 может загрузить и запустить указанный в команде файл, запустить процесс самоудаления, а также осуществлять DDoS-атаки различными методами – UDP flood (на указанный или случайный порт), TCP flood, HTTP flood с использованием GET/POST/HEAD-запросов и пр. При получении команды начать DDoS-атаку, троян прекращает все дочерние процессы, а затем запускает 25 новых процессов для выполнения атаки указанным злоумышленниками способом. (Dr.Web/NovostIT)