Новый Linux-троянец атакует веб-серверы
Эксперты антивирусной компании "Лаборатория Касперского" сообщили об обнаружении необычной вредоносной программы для 64-разрядных версий Linux. Как говорят специалисты, вредоносный код скрывает свое присутствие в системе свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, здесь речь идет о вредоносной программе, используемой для организации drive-by загрузок вредоносного ПО.
Вредоносный модуль кода создан специально для версии ядра 2.6.32-5-amd64. По словам специалистов, это новейший вариант ядра, используемый в 64-разрядной системе Debian версии Squeeze. Исполняемый файл имеет размер более 500 кБ, но это связано с тем, что он был скомпилирован с отладочной информацией. После заражения целевой системы код прописывается в автозапуске Linux и внедряется в системную область.
Кроме того, троянец извлекает адреса памяти нескольких функций и переменных ядра операционной системы и сохраняет их в памяти для дальнейшего использования. Во время работы троянец использует несколько приемов для сокрытия собственного процесса работы и нескольких важных файлов.
Функционал троянца позволяет ему подменять системную функцию tcp_sendmsg, отвечающую за построение TCP-пакетов, собственной функцией. Таким образом, вредоносные фреймы внедряются в HTTP-трафик путем непосредственной модификации исходящих TCP-пакетов. Для получения актуального внедряемого блока данных вредоносная программа соединяется с сервером управления (C&C), используя для аутентификации зашифрованный пароль.
"Нам не удалось соединиться с сервером управления через порт, используемый вредоносной программой, однако вредоносный сервер все еще активен; на нем размещен и другой инструментарий для UNIX-подобных операционных систем, в частности, инструменты для очистки журналов. До сих пор в большинстве сценариев drive-by атак механизм автоматического внедрения вредоносного кода был реализован с помощью простого PHP-скрипта. Но в данном случае мы имеем дело с гораздо более сложным механизмом – применением руткит-компонента режима ядра, использующего сложные технологии перехвата, что позволяет сделать процесс внедрения более прозрачным и низкоуровневым, чем когда-либо ранее. Этот руткит, который в данный момент находится на стадии разработки, демонстрирует новый подход к организации drive-by атак. Несомненно, можно ожидать появления других подобных вредоносных программ в будущем", отмечается в блоге "Лаборатории Касперского".
Более подробные технические данные о троянце доступны по адресу http://www.securelist.com/ru/blog/207764326/Novyy_rutkit_dlya_64_razryadnoy_sistemy_Linux_vnedrenie_iframe