ГлавнаяНовостиНовостиНовости, 201909Новости, 201909

Криптомайнер Linux.BtcMine.174 уничтожает и файлы, и папки, в которые были установлены антивирусные продукты, а заодно деактивирует процессы других криптомайнеров.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Знакомства] | [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Криптокомбайн

Эксперты российской компании Dr. Web обнаружили новый криптомайнер под Linux, для которого характерна многокомпонентная структура и широкий диапазон функций. Среди прочего, эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Кроме того, она удаляет из системы другие программы для майнинга криптовалют.

Криптомайнер, получивший обозначение Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

При первом запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и ищет на диске папку с правами на запись, в которую и будут загружены эти модули.

После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве так называемого демона. Для этого троянец использует утилиту nohup. Если ее в системе нет, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

Новый модульный криптомайнер под Linux убивает антивирусы и конкурентов

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Конкурентам здесь не место

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы.

Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимум два: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

Dirty COW — весьма известная уязвимость в ядре Linux, позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г., она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). В версиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч, датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017 г. вышел новый патч.

При этом Dirty COW до сих пор активно эксплуатируется, и, как можно заметить, небезуспешно.

Антивирусам бой

Среди прочего Linux.BtcMine.174 способен убивать антивирусы, функционирующие в системе. Для этого он пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.

В случае их обнаружения троянец не просто завершает процесс антивируса, но «выкорчевывает» все файлы и директорию, в которой был установлен антивирусный продукт, с помощью пакетных менеджеров.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит.

Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Руткит способен красть вводимые пользователем пароли, скрывать файлы в файловой системе и т. д. Троянец также собирает информацию о сетевых узлах, к которым ранее подключались по протоколу SSH, и пробует заразить их. По всей видимости, это основной способ распространения вредоноса.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). Функционирование майнера производится раз в минуту, при необходимости программа перезапускает его заново. Соединения с управляющим сервером непрерывны, что в теории позволяет обнаружить его деятельность. Впрочем, эксперты Dr. Web опубликовали все известные к настоящему времени индикаторы заражения.

«Данная вредоносная программа выглядит как попытка создать криптомайнер с исчерпывающим набором функций, обеспечивающих постоянное его функционирование, которому ничто не будет мешать, — говорит Тарас Татаринов, эксперт по информационной безопасности компании “Информационные технологии будущего”. — Судя по всему злоумышленники в основном рассчитывали на использование майнером рабочих станций и серверов, обслуживанием которых занимаются мало, если занимаются вообще. Данный майнер особенно и не пытается скрывать свое присутствие в системе: исчезновение антивируса из регулярно используемой машины будет замечено очень быстро, не говоря уже о том, что все криптомайнеры чрезвычайно прожорливы в отношении вычислительных мощностей, и уже этим быстро выдают себя».

ГлавнаяНовостиНовостиНовости, 201909Новости, 201909

В России начинается эксперимент по оцифровке трудовых договоров, приказов о найме и увольнении

Министерство труда и социальной защиты России (Минтруд) с 1 октября 2020 г. запустит на своем портале новую экспериментальную подсистему для работодателей, которая позволит управлять оборотом электронных трудовых документов через личный кабинет. Эксп...

Facebook покупает сервис анимированных изображений Giphy

Сервис вместе с накопленной библиотекой анимированных изображений станет частью Instagram....

Россиянам поменяют бумажный паспорт на мобильное приложение. Эксперимент пройдет в Москве

Минкомсвязи подготовило проект правительственного постановления о проведении в Москве эксперимента по замене бумажного паспорта на мобильное приложение. Провести было его предложено с 1 июля 2020 по 31 декабря 2021 гг., однако спустя несколько часов ...

Как краудлендинг может спасти малый бизнес

Совсем по-иному ведут себя инвесторы краудлендинговых платформ. Точной статистики по этому сектору пока нет, но, основываясь на наших ежедневных отчетах и на информации от коллег, можем сделать вывод: инвесторы не намерены забирать деньги с этого рын...

«Яндекс.Диск» научился автоматически сохранять важные файлы с компьютера

«Яндекс» объявил о том, что сервис «Яндекс.Диск» теперь умеет автоматически сохранять все файлы с рабочего стола, а также из стандартных папок «Изображения» и «Документы» на компьютерах с Windows. Достаточно подписаться на «Диск Про» — и всё важное б...

[Популярные социальные сети] [*Добавить сайт]

Нравится


Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |