ГлавнаяНовостиНовостиНовости, 201909Новости, 201909

Криптомайнер Linux.BtcMine.174 уничтожает и файлы, и папки, в которые были установлены антивирусные продукты, а заодно деактивирует процессы других криптомайнеров.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Знакомства] | [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Криптокомбайн

Эксперты российской компании Dr. Web обнаружили новый криптомайнер под Linux, для которого характерна многокомпонентная структура и широкий диапазон функций. Среди прочего, эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы. Кроме того, она удаляет из системы другие программы для майнинга криптовалют.

Криптомайнер, получивший обозначение Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода.

При первом запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и ищет на диске папку с правами на запись, в которую и будут загружены эти модули.

После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве так называемого демона. Для этого троянец использует утилиту nohup. Если ее в системе нет, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

Новый модульный криптомайнер под Linux убивает антивирусы и конкурентов

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Конкурентам здесь не место

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы.

Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов; аналитикам Dr. Web удалось выявить как минимум два: Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

Dirty COW — весьма известная уязвимость в ядре Linux, позволяющая повышать привилегии в системе. Выявленная в конце весны 2016 г., она на самом деле затрагивала все версии ядра, начиная с 2.6.22 (2007 г.). В версиях 4.8.3, 4.7.9 и 4.4.26 «баг» был исправлен, но не сразу. Первый патч, датированный 2016 г., закрывал уязвимость не полностью, так что в ноябре 2017 г. вышел новый патч.

При этом Dirty COW до сих пор активно эксплуатируется, и, как можно заметить, небезуспешно.

Антивирусам бой

Среди прочего Linux.BtcMine.174 способен убивать антивирусы, функционирующие в системе. Для этого он пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord.

В случае их обнаружения троянец не просто завершает процесс антивируса, но «выкорчевывает» все файлы и директорию, в которой был установлен антивирусный продукт, с помощью пакетных менеджеров.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит.

Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Руткит способен красть вводимые пользователем пароли, скрывать файлы в файловой системе и т. д. Троянец также собирает информацию о сетевых узлах, к которым ранее подключались по протоколу SSH, и пробует заразить их. По всей видимости, это основной способ распространения вредоноса.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). Функционирование майнера производится раз в минуту, при необходимости программа перезапускает его заново. Соединения с управляющим сервером непрерывны, что в теории позволяет обнаружить его деятельность. Впрочем, эксперты Dr. Web опубликовали все известные к настоящему времени индикаторы заражения.

«Данная вредоносная программа выглядит как попытка создать криптомайнер с исчерпывающим набором функций, обеспечивающих постоянное его функционирование, которому ничто не будет мешать, — говорит Тарас Татаринов, эксперт по информационной безопасности компании “Информационные технологии будущего”. — Судя по всему злоумышленники в основном рассчитывали на использование майнером рабочих станций и серверов, обслуживанием которых занимаются мало, если занимаются вообще. Данный майнер особенно и не пытается скрывать свое присутствие в системе: исчезновение антивируса из регулярно используемой машины будет замечено очень быстро, не говоря уже о том, что все криптомайнеры чрезвычайно прожорливы в отношении вычислительных мощностей, и уже этим быстро выдают себя».

ГлавнаяНовостиНовостиНовости, 201909Новости, 201909

Telegram в России разблокирован не полностью. Виноваты Facebook и автоматы с едой

Как выяснил CNews, несмотря на разблокировку Telegram, в России продолжает быть заблокированным связанный с ним с блог-сервис Telegra.ph. Причиной являются две записи на данной платформе, одна из которой посвящена способам обмана вендинговых автомато...

ДИТ Москвы модернизирует систему видеонаблюдения

Повышение качества изображения камер способствует росту эффективности использования средств видеоаналитики....

В России создан бесплатный «мобильный доктор» для людей с кожными заболеваниями

Российские разработчики запустили бесплатный сервис CheckSkin на базе одноименного мобильного приложения, позволяющий людям с хроническими заболеваниями кожи отслеживать динамику болезни и информировать о ней своих лечащих врачей. Платформа CheckSkin...

Мосгорсуд отклонил жалобу Telegram по делу о блокировке

У кассационной инстанции нет сомнений в законности судебных решений по делу о блокировке мессенджера на территории России....

Минкомсвязи хочет влить миллиарды рублей в российскую мобильную ОС

Минкомсвязи предложило направить на развитие единственной мобильной ОС «Аврора» 8,2 млрд руб. Эти деньги планируется выделить в течение следующих четырех лет и потратить также на внедрение системы в госорганы. Для этого было предложено внести соответ...

[Популярные социальные сети] [*Добавить сайт]

Нравится


Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |