Новый linux-троянец атакует веб-серверы

Гаджеты linux троян 23.11.2012 10:42
Просмотр списком
Новый Linux-троянец атакует веб-серверы

Эксперты антивирусной компании "Лаборатория Касперского" сообщили об обнаружении необычной вредоносной программы для 64-разрядных версий Linux. Как говорят специалисты, вредоносный код скрывает свое присутствие в системе свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере.

Таким образом, здесь речь идет о вредоносной программе, используемой для организации drive-by загрузок вредоносного ПО.



Вредоносный модуль кода создан специально для версии ядра 2.6.32-5-amd64. По словам специалистов, это новейший вариант ядра, используемый в 64-разрядной системе Debian версии Squeeze. Исполняемый файл имеет размер более 500 кБ, но это связано с тем, что он был скомпилирован с отладочной информацией. После заражения целевой системы код прописывается в автозапуске Linux и внедряется в системную область.

Кроме того, троянец извлекает адреса памяти нескольких функций и переменных ядра операционной системы и сохраняет их в памяти для дальнейшего использования. Во время работы троянец использует несколько приемов для сокрытия собственного процесса работы и нескольких важных файлов.

Функционал троянца позволяет ему подменять системную функцию tcp_sendmsg, отвечающую за построение TCP-пакетов, собственной функцией. Таким образом, вредоносные фреймы внедряются в HTTP-трафик путем непосредственной модификации исходящих TCP-пакетов. Для получения актуального внедряемого блока данных вредоносная программа соединяется с сервером управления (C&C), используя для аутентификации зашифрованный пароль.

Источник: cybersecurity
6520
facebook
Нажмите «Нравится»,
чтобы читать Relax.ru в Facebook
 Top