Описание вредоносного ПО

Очередное опровержение мифа о безопасности *nix

Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a.

Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения:


Perl-скрипт рассылающий спам

Второй троянец является исполняемым файлом для Linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт:


Расшифровка и запуск Perl-скрипта

Эти вредоносные программы были обнаружены нами на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ.


Часть вредоносной программы Trojan-Downloader.JS.Iframe.auy, размещенной на зараженных серверах


Страница, предлагающая пользователю установить кодек для просмотра видео

На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом not-a-virus:FraudTool.Win32.MalwareDoctor.e, который предлагает «вылечить» компьютер посетителя за $60.


Сайт поддельного антивируса

На данный момент нам известно около тысячи случаев заражения сайтов вредоносной программой Trojan-Downloader.JS.Iframe.auy и несколько сотен серверов, зараженных программами Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. Эти сервера постоянно рассылают почтовый спам.

Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно.

Очередное опровержение мифа о безопасности *nix

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике