По данным исследователей из CERT Polska, злоумышленники внедряют в системы Linux иWindows вредоносное ПО, направленное на дальнейшее осуществление DDoS-атак. В настоящее время наблюдается расширение Linux-версии вируса, которую успешно использовали для осуществления атак по подбору паролей к SSH-серверу. Это значит, что уязвимыми являются только те системы, которые позволяют удаленный SSH-доступ и имеют слабые пароли.
“Нам удалось получить в распоряжение 32-битный бинарный ELF-файл”, – сообщили представители CERT Polska в своем блоге. Исполняемый файл работает в режиме демона и подключается к C&C-серверу посредством использования предустановленного IP-адреса и порта. После первого запуска вредоносное ПО отправляет данные об операционной системе и ждет дальнейших команд от злоумышленников.
Благодаря анализу исследователям удалось установить, что вирус позволяет осуществление DDoS-атак четырех типов. Одной из них является атака DNS Amplification, в рамках которой на DNS-сервер отправляется запрос, содержащий 256 случайных или заранее определенных поисковых запросов.
Во время осуществления атаки вирус постоянно общается с подконтрольным злоумышленникам сервером, предоставляя данные о запускаемых процессах, мощности процессора, загрузке системы и скорости сетевого подключения. Что касается Windows-версии, то вредоносное ПО устанавливается по адресу: “C:\Program Files\DbProtectSupport\svchost.exe” и запускается вместе с системой. Единственным отличием является то, что этот вирус подключается к C&C-серверу через доменное имя, а не IP-адрес. При этом используется один и тот же сервер. (CERT/NovostIT)