Wirus Linux.BackDoor.Fgt.1: hakerzy atakują Linuxa
2014-11-28 15:20
Hakerzy znów atakują Linuxa © tashatuvango - Fotolia.com
System Linux doczekał się kolejnego wroga – wirus Linux.BackDoor.Fgt.1 stworzony został, aby przeprowadzać ataki DDos. Po połączeniu się z serwerem zarządzającym otrzymuje polecenia do wykonania na zainfekowanym urządzeniu – instrukcja PING wywołuje reakcję w postaci odpowiedzi PONG, oznaczającej kontynuację szkodliwego działania. Eksperci z firmy Dr Web przyjrzeli się zagrożeniu Linux.BackDoor.Fgt.1.
Przeczytaj także: Ataki DoS i botnety najgroźniejsze dla firm
Jak działa wirus?
Po uruchomieniu na zainfekowanym urządzeniu, Linux.BackDoor.Fgt.1 wysyła żądanie na jeden z serwerów Google w celu określenia, czy urządzenie podłączone jest do internetu. Po otrzymaniu potwierdzenia program określa adresy IP i MAC urządzenia. Następnie Linux.BackDoor.Fgt.1 próbuje skomunikować się z serwerem kontrolno-zarządzającym (C&C), którego adres jest wpisany na stałe w kod backdoor'a, wysyłając na ten serwer informację o swojej wersji. W odpowiedzi Linux.BackDoor.Fgt.1 oczekuje otrzymania bloku danych zawierających komendę do wykonania na zainfekowanym urządzeniu. Jeśli serwer C&C wyśle instrukcję PING, backdoor odsyła odpowiedź PONG i kontynuuje działanie na zainfekowanym urządzeniu. Jeśli odebrana zostanie komenda DUP, Linux.BackDoor.Fgt.1 wyłącza się.
fot. tashatuvango - Fotolia.com
Hakerzy znów atakują Linuxa
Wirus Linux.BackDoor.Fgt.1 stworzony został, aby przeprowadzać ataki DDos.
Backdoor zawiera też specjalną procedurę skanowania 256 losowych adresów IP w jednej pętli. Cykl skanowania jest inicjowany przez atakujących. Podczas generowania adresów IP Linux.BackDoor.Fgt.1 sprawdza, czy wchodzą one w zakres adresów używanych wewnątrz sieci LAN - takie adresy są ignorowane. Jeśli połączenie nie powiedzie się, Linux.BackDoor.Fgt.1 wysyła informację o błędzie na serwer C&C cyberprzestępców. Jeśli połączenie zostanie zestawione, złośliwy program próbuje połączyć się ze zdalnym hostem poprzez Telnet i uzyskać tzw. ciąg zachęty do logowania. Po wysłaniu do zdalnego hosta loginu z wygenerowanej przez siebie listy, Linux.BackDoor.Fgt.1 rozpoczyna analizowanie odpowiedzi od zdalnej maszyny. Jeśli któraś z nich zawiera żądanie hasła, backdoor próbuje zalogować się używając haseł znalezionych na swojej liście. Następnie przekazuje na serwer C&C adres IP, login i hasło użyte do zdalnej autoryzacji na hoście, po czym węzeł będący celem ataku otrzymuje instrukcję pobrania specjalnego skryptu. Ten skrypt jest używany do załadowania i uruchomienia Linux.BackDoor.Fgt.1 na zaatakowanym komputerze. Warto zauważyć, że serwer C&C zawiera dużą liczbę plików wykonywalnych wirusa Linux.BackDoor.Fgt.1, skompilowanych na różne wersje systemu Linux w różnych dystrybucjach, włączając porty serwerowe oparte na architekturach MIPS i SPARC. W ten sposób backdoor potrafi infekować nie tylko podłączone do internetu serwery i PC pracujące pod kontrolą systemu Linux, ale i inne urządzenia, takie jak routery.
Linux.BackDoor.Fgt.1 potrafi wykonywać następujące polecenia, wydawane przez cyberprzestępców: :
- określanie adresu IP zainfekowanego urządzenia;
- uruchamianie/zatrzymywanie skanowania IP;
- zestawianie ataku typu DNS Amplification na określonym hoście;
- zestawianie ataku typu UPD Flood na określonym hoście;
- zestawianie ataku typu SYN Flood na określonym węźle;
- przerywanie ataków DDoS;
- kończenie pracy backdoora.
Przeczytaj także:
![Ataki DDoS II poł. 2011]( "Ataki DDoS II poł. 2011")
Ataki DDoS II poł. 2011
Ataki DDoS II poł. 2011
oprac. : Agata Fąs / eGospodarka.pl
Więcej na ten temat:
Linux, zagrożenia internetowe, wirusy, cyberprzestępcy, złośliwe oprogramowanie, szkodliwe programy, ataki internetowe, ataki DDos
Przeczytaj także
-
![Zagrożenia w sieci: spokój mąci nie tylko phishing]( "Zagrożenia w sieci: spokój mąci nie tylko phishing [© pixabay.com]")
Zagrożenia w sieci: spokój mąci nie tylko phishing
-
![Jak przestępcy wyłudzają pieniądze w sieci]( "Jak przestępcy wyłudzają pieniądze w sieci [© Andrea Danti - Fotolia.com]")
Jak przestępcy wyłudzają pieniądze w sieci
-
![CERT Orange Polska: 2020 rok pod znakiem phishingu]( "CERT Orange Polska: 2020 rok pod znakiem phishingu [© weerapat1003 - Fotolia.com]")
CERT Orange Polska: 2020 rok pod znakiem phishingu
-
![Wezwanie do zapłaty – teraz tak atakują hakerzy]( "Wezwanie do zapłaty – teraz tak atakują hakerzy [© vege - Fotolia.com]")
Wezwanie do zapłaty – teraz tak atakują hakerzy
-
![Kaspersky DDoS Protection dla ochrony przed atakami DDoS]( "Kaspersky DDoS Protection dla ochrony przed atakami DDoS")
Kaspersky DDoS Protection dla ochrony przed atakami DDoS
-
![Ransomware: trojan Koler wyłudza okup]( "Ransomware: trojan Koler wyłudza okup [© Maxim_Kazmin - Fotolia.com]")
Ransomware: trojan Koler wyłudza okup
-
![Zaawansowane i ukierunkowane cyberataki 2013]( "Zaawansowane i ukierunkowane cyberataki 2013 [© Amir Kaljikovic - Fotolia.com]")
Zaawansowane i ukierunkowane cyberataki 2013
-
![Nowa fałszywa aktualizacja Flash Player]( "Nowa fałszywa aktualizacja Flash Player")
Nowa fałszywa aktualizacja Flash Player
-
![KasperskyLab: ataki hakerskie na firmy 2013]( "KasperskyLab: ataki hakerskie na firmy 2013 [© alphaspirit - Fotolia.com]")
KasperskyLab: ataki hakerskie na firmy 2013
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (1)
Rusza sprzedaż mieszkań na osiedlu Galaktyczna w Trójmieście
