Новый Linux-троян помогает проводить DDoS-атаки

Безопасность Интернет Открытое ПО
мобильная версия
, Текст: Татьяна Короткова

Аналитики компании «Доктор Веб» исследовали вредоносную программу, получившую название Linux.DDoS.93, предназначенную для проведения DDoS-атак (англ. Distributed Denial of Service, распределенная атака, приводящая к отказу в обслуживании). Троян создан вирусописателями для заражения устройств под управлением операционных систем семейства Linux. Предположительно эта вредоносная программа распространяется при помощи набора уязвимостей ShellShock в программе GNU Bash, сообщили CNews в «Доктор Веб».

При запуске Linux.DDoS.93 пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить собственную автозагрузку. Затем троян ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работу.

Успешно запустившись в инфицированной системе, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь, родительский процесс тоже следит за дочерним и перезапускает его при необходимости — так троян поддерживает свою непрерывную работу на зараженной машине.

Linux.DDoS.93 умеет выполнять следующие команды: обновить вредоносную программу; скачать и запустить указанный в команде файл; самоудалиться; начать атаку методом UDP flood на указанный порт; начать атаку методом UDP flood на случайный порт; начать атаку методом Spoofed UDP flood; начать атаку методом TCP flood; начать атаку методом TCP flood (в пакеты записываются случайные данные длиной 4096 байт); начать атаку методом HTTP flood с использованием GET-запросов; начать атаку методом HTTP flood с использованием POST-запросов; начать атаку методом HTTP flood с использованием HEAD-запросов; отправить на 255 случайных IP-адресов HTTP-запросы с указанными параметрами; завершить выполнение; отправить команду ping.

Когда троян получает команду начать DDoS-атаку или отправить случайные запросы, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным злоумышленниками методом. Сигнатура Linux.DDoS.93 добавлена в вирусные базы Dr.Web, отметили в «Доктор Веб».