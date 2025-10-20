Всемирно известная модификация Linux Ubuntu превратилась в вирус. Предупреждавших об этом пользователей блокировали

Сайт Xubuntu (Ubuntu с оболочкой Xfce вместо GNOME) взломан. На была размещена ссылка на скачивание вируса вместо самого дистрибутива. Владельцы сайта банили пользователей, указавших на проблему, и ничего не исправляли.

Вирус под видом Linux

Официальный сайт всемирно известного дистрибутива Linux Xubuntu взломан неизвестными киберпреступниками. Внешне он никак не изменился – хакеры поменяли лишь все ссылки, которые должны вести на ISO-образ системы.

Xubuntu – это модификация Ubuntu для тех, кто не желает разбираться с громоздкой и тяжелой оболочкой GNOME, у которой есть некоторые проблемы с потреблением системных ресурсов. Вместо нее в Xubuntu интегрирована среда Xfce – быстрая и легкая, к тому же сильно напоминающая Windows 11 по своему внешнему виду.

На странице загрузки Xubuntu все ссылки начали вести не на фирменные торрент-файлы, как было первоначально, а на ZIP-архив с вирусом. Притом, что самое важное, его разместили прямо в каталоге сайта, чтобы при наведении на ссылку даже у продвинутых пользователей не возникали вопросы.

Справедливость почти восстановлена

На момент выхода материала скачать дистрибутив по-прежнему было нельзя, однако доступ к опасному архиву разработчики Xubuntu закрыли. Однако кнопки «скачать» хоть и больше не вели на опасный архив, но и к корректным файлам тоже не были привязаны. Они фактически не работали, и их нажатие ни к чему не приводило ни в одном из доступных редактору CNews браузеров, в том числе и на смартфоне.

grok В наше время даже Linux скачивать опасно

При попытке принудительно скачать опасный архив (ссылка на него есть в свободном доступе в интернете, CNews не может ее привести) установленный на ПК антивирус начинает бить тревогу. На устройствах без антивирусной защиты браузер возвращает ошибку 503.

Сайт Xubuntu сверстан на движке WordPress, репутация у которого в плане уровня безопасности далеко не самая лучшая. Как пишет портал OpenNet, взломать Xubuntu.org хакеры могли при помощи уязвимости в одном из плагинов к этому движку, который мог давно не обновляться. Что именно это за плагин, эксперты OpenNet не уточняют.

Что внутри файла

Архив с неприятным сюрпризом внутри носил название Xubuntu-Safe-Download.zip и «весил» около 22 КБ, что в разы меньше, нежели обычно «весят» дистрибутивы ОС – они занимают несколько гигабайтов. Внутри него находилась программа под Windows.

Антивирусы уже распознают опасность

Согласно сайту VirusTotal, 23 антивируса считают, что это вредоносное ПО. Так, Kaspersky определяет его как HEUR:Trojan.MSIL.Agent.gen, а BitDefender – как Trojan.GenericKD.77587264.

Файл с операционной системой не может быть таким крошечным

Чтобы не вызывать у пользователей подозрений, программа выводит на экран простенький интерфейс выбора модификации Xubuntu скачивания нужной версии дистрибутива и кнопку Generate Download Link. Если ее нажать, то в системном каталоге AppData\Roaming появляется исполняемый файл elzvcf.exe, который прописывается в автозагрузку через реестр. По предварительным данным, эта программа «анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников», пишет OpenNet.

К чему спешка

Доподлинно неизвестно когда именно были внедрены ссылки на вредоносное ПО. Согласно данным сервиса archive.org, это могло произойти в промежутке между 11 и 18 октября 2025 г.

11 октября 2025 г. на сайте Xubuntu ссылки вели на правильные файлы, а вот 18 октября 2025 г. – уже нет.

Важно отметить, что пострадали только прямые ссылки на торрент-файлы с дистрибутивом Xubuntu. По неизвестным причинам хакеры не тронули ссылки на зеркала – они остались корректными.

Хакеры, в теории, могли проникнуть в недра сайта Xubuntu намного раньше и ничем себя не выдавать. По данным портала OpenNet, 10 сентября 2025 г. в официальном блоге на сайте Xubuntu появилась жалоба пользователя, в которой он упоминал рекламу казино в этом же блоге. Но все это было очень быстро удалено, и больше никаких упоминаний о спаме не поступало.