Выбирай : Покупай : Используй
0

Избавиться от вредного ПО под Linux можно, заразившись неуживчивым майнером

Новая вредоносная программа сочетает фрагменты кода Xbash и Korkerds, с помощью которых обеспечивается ее устойчивое присутствие в системе, а также уничтожение конкурирующих майнеров и всего, что с ними связано.

Неуживчивый вредонос

Эксперты компании Trend Micro выявили новую вредоносную программу, которая устанавливает на платформы под управлением Linux криптомайнер и пытается истребить конкурирующие с ним программы.

Скрипт, устанавливающий криптомайнер XMR-Stak Cryptonight, попался в одну из ловушке (honeypot) Trend Micro, так что экспертам удалось его проанализировать во всех подробностях.

Как оказалось, код содержит фрагменты от других вредоносных программ, в частности, Xbash и Korkerds. Оригинальный Xbash — это многофункциональный вредонос, обнаруженный осенью 2018 г. Он сочетает функции шифровальщика, майнера, ботнета и червя. Korkerds, в свою очередь, также является майнером, который однако содержит также функции руткита, обеспечивающие ему устойчивую сохранность в зараженной системе.

haker600_1.jpg
Новый криптомайнер под Linux основательно зачищает конкурентов

Новообнаруженный гибрид использует функции руткита и для установки непосредственно майнера, и для сохранения присутствия в системе после всевозможных перезагрузок и удалений. Эксперты особо отмечают, что вредоносная программа инсталлируется и в систему, и в таблицы планировщика заданий Cron (crontab).

Согласно описанию экспертов, злоумышленники начинают заражать системы с некоторых IP-камер и веб-сервисов: через TCP-порт 8161 осуществлялась загрузка в специально подготовленный файл crontab.

Этот файл, в случае его успешной загрузки, позволял запускать атаку второго этапа, в рамках которой вредонос производил ряд действий. В частности, он удалял все установленные ранее криптомайнеры и любые связанные с ними службы, создавал новые директории и файлы, чтобы предотвратить запуск системных процессов, устанавливающих соединения с определенным списком IP-адресов.

Также он скачивал двоичный файл криптомайнера и запускал его, скачивал скрипт, сохраняя его в файл /usr/local/bin/dns, и создавал новый файл crontab для вызова этого скрипта в час ночи по местному времени. Кроме того он скачивал картинку под названием 1.jpg, которая сохранялась в другом файле crontab.

Заодно программа зачищала все системные логи, чтобы скрыть свое присутствие в системе.

Будущий тренд?

Эксперты отметили, что впервые наблюдают столь «всеобъемлющий» подход к истреблению конкурирующего вредоносного ПО под Linux, какой демонстрирует эта программа.

«Вполне логично, что создатели криптомайнера хотят, чтобы их программа использовали ресурсы зараженных систем в эксклюзивном порядке, — присутствие других майнеров снижает ее эффективность, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Не исключено, что такая зачистка конкурентов со временем станет стандартной функцией для вредоносных криптомайнинговых программ. Впрочем, для конечных пользователей зараженных систем от этого ничего не меняется: вредоносный криптомайнер — в любом случае проблема».

Комментарии