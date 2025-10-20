Разделы

Всемирно известная модификация Linux Ubuntu превратилась в вирус. Предупреждавших об этом пользователей блокировали

Сайт Xubuntu (Ubuntu с оболочкой Xfce вместо GNOME) взломан. На была размещена ссылка на скачивание вируса вместо самого дистрибутива. Владельцы сайта банили пользователей, указавших на проблему, и ничего не исправляли.

Вирус под видом Linux

Официальный сайт всемирно известного дистрибутива Linux Xubuntu взломан неизвестными киберпреступниками. Внешне он никак не изменился – хакеры поменяли лишь все ссылки, которые должны вести на ISO-образ системы.

Xubuntu – это модификация Ubuntu для тех, кто не желает разбираться с громоздкой и тяжелой оболочкой GNOME, у которой есть некоторые проблемы с потреблением системных ресурсов. Вместо нее в Xubuntu интегрирована среда Xfce – быстрая и легкая, к тому же сильно напоминающая Windows 11 по своему внешнему виду.

На странице загрузки Xubuntu все ссылки начали вести не на фирменные торрент-файлы, как было первоначально, а на ZIP-архив с вирусом. Притом, что самое важное, его разместили прямо в каталоге сайта, чтобы при наведении на ссылку даже у продвинутых пользователей не возникали вопросы.

Справедливость почти восстановлена

На момент выхода материала скачать дистрибутив по-прежнему было нельзя, однако доступ к опасному архиву разработчики Xubuntu закрыли. Однако кнопки «скачать» хоть и больше не вели на опасный архив, но и к корректным файлам тоже не были привязаны. Они фактически не работали, и их нажатие ни к чему не приводило ни в одном из доступных редактору CNews браузеров, в том числе и на смартфоне.

ai_tux_700.jpg
grok
В наше время даже Linux скачивать опасно

При попытке принудительно скачать опасный архив (ссылка на него есть в свободном доступе в интернете, CNews не может ее привести) установленный на ПК антивирус начинает бить тревогу. На устройствах без антивирусной защиты браузер возвращает ошибку 503.

Сайт Xubuntu сверстан на движке WordPress, репутация у которого в плане уровня безопасности далеко не самая лучшая. Как пишет портал OpenNet, взломать Xubuntu.org хакеры могли при помощи уязвимости в одном из плагинов к этому движку, который мог давно не обновляться. Что именно это за плагин, эксперты OpenNet не уточняют.

Что внутри файла

Архив с неприятным сюрпризом внутри носил название Xubuntu-Safe-Download.zip и «весил» около 22 КБ, что в разы меньше, нежели обычно «весят» дистрибутивы ОС – они занимают несколько гигабайтов. Внутри него находилась программа под Windows.

xub61.jpg

Антивирусы уже распознают опасность

Согласно сайту VirusTotal, 23 антивируса считают, что это вредоносное ПО. Так, Kaspersky определяет его как HEUR:Trojan.MSIL.Agent.gen, а BitDefender – как Trojan.GenericKD.77587264.

xub62.jpg

Файл с операционной системой не может быть таким крошечным

Чтобы не вызывать у пользователей подозрений, программа выводит на экран простенький интерфейс выбора модификации Xubuntu скачивания нужной версии дистрибутива и кнопку Generate Download Link. Если ее нажать, то в системном каталоге AppData\Roaming появляется исполняемый файл elzvcf.exe, который прописывается в автозагрузку через реестр. По предварительным данным, эта программа «анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников», пишет OpenNet.

К чему спешка

Доподлинно неизвестно когда именно были внедрены ссылки на вредоносное ПО. Согласно данным сервиса archive.org, это могло произойти в промежутке между 11 и 18 октября 2025 г.

11 октября 2025 г. на сайте Xubuntu ссылки вели на правильные файлы, а вот 18 октября 2025 г. – уже нет.

Георгий Тарасов, Curator: Для обучения ИИ требуется все больше бот-трафика

Безопасность

Важно отметить, что пострадали только прямые ссылки на торрент-файлы с дистрибутивом Xubuntu. По неизвестным причинам хакеры не тронули ссылки на зеркала – они остались корректными.

Хакеры, в теории, могли проникнуть в недра сайта Xubuntu намного раньше и ничем себя не выдавать. По данным портала OpenNet, 10 сентября 2025 г. в официальном блоге на сайте Xubuntu появилась жалоба пользователя, в которой он упоминал рекламу казино в этом же блоге. Но все это было очень быстро удалено, и больше никаких упоминаний о спаме не поступало.

Геннадий Ефремов

