Описание вредоносного ПО

Adore: появился еще один червь для Linux

Adore (aka «Red worm») — уже третий червь, появившийся за последние менее, чем три месяца, атакующий Linux-системы. Также как и предыдущие черви «Ramen» и «Lion», новый вирус использует все те же известные уязвимости в защите Linux, для которых уже существуют соответствующие «заплатки».

Для незаметного проникновения на компьютеры с операционной системой Linux Red Hat вирус «Adore» использует бреши в BIND, wu-ftpd, rpc.statd и lpd сервисах.
Червь сканирует ресурсы глобальной сети, действуя аналогично утилитам типа «сниффер» для поиска уязвимых систем. Если жертва найдена, червь предпринимает попытки загрузить на этот компьютер свою главную компоненту с сервера, расположенного в Китае.

После проникновения на компьютер червь сохраняет свою копию в каталоге «/usr/local/bin/lib/» и запускает свою основную компоненту — файл «start.sh». Вначале червь заменяет на инфицированной машине приложение «/bin/ps» (используется для просмотра текущих процессов в системе) своей программой, содержащей трояна. После этого в списке активных задач будут видны все, кроме червя.
Эту же программу червь копирует в «/usr/bin/anacron». Помимо этого червь заменяет на зараженном компьютере «/sbin/klogd» своей версией, содержащей бэкдор.

Червь также собирает ключевую системную информацию, включая содержимое файла «/etc/shadow», и отправляет ее по электронной почте на четыре email-адреса, два из которых в Китае, два в США.

Дополнительная информация по безопасности и «заплатки», устраняющие «дыры» в защите Linux RedHat доступна по следующим адресам:

  • Debian GNU/Linux: http://www.debian.org/security/
  • Linux Mandrake: http://www.linux-mandrake.com/en/security/
  • SuSE: http://www.suse.com/en/support/security/index.html
  • RedHat Linux: http://www.redhat.com/support/errata/
  • Adore: появился еще один червь для Linux

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    Таргетированная атака на промышленные предприятия и государственные учреждения

    Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

    ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

    ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

    Lazarus распространяет протрояненный DeFi-кошелек

    Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

    MoonBounce: скрытая угроза в UEFI

    В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике