Вирусописатели пробуют свои силы в Linux

Разговоры обо всём
Ответить
Аватара пользователя
vasilich
Сообщения: 696
Зарегистрирован: 03 окт 2012, 14:04
Темы: 498
Статус: Не в сети

Вирусописатели пробуют свои силы в Linux

Сообщение vasilich » 23 ноя 2012, 09:53

Аналитики из компании «Лаборатория Касперского» обнаружили концептуально новый вид вредоносного ПО для Linux. Вирус, получивший название «Rootkit Linux Snakso-A» по внутренней классификации, заражает Linux-системы на уровне ядра, подменяя вывод веб-серверов. Таким образом, все веб-сайты, размещенные на зараженном сервере, оказываются опасными для своих посетителей. Веб-сервер работает в обычном режиме, только в отправляемые пакеты на низком уровне вставляются специальные теги «iFrame», в которых спрятаны ссылки для скрытой загрузки вредоносного контента.

По имеющимся данным, новый вирус поражает 64-битные системы с ядром kernel 2.6.32-5-amd64 и популярным веб-сервером Nginx. Размер исполняемого файла, обнаруженного в «диком виде», составляет около 500 Кбайт, но специалисты оправдывают такой неестественно большой размер тем, что пока вирус скомпилирован с включением всей отладочной информации. Опасность заключается в том, что администратор сервера практически не имеет возможности определить наличие «закладки» на своем сервере. Под угрозой оказываются пользователи, заходящие на сайты, которые обслуживаются зараженной машиной. Каждый раз при заходе на такой сайт они получают дополнительно скрытые ссылки, которых нет в выводе веб-сервера. Фактически, вирус подменяет исходящие TCP-пакеты, отправляемые посетителям веб-сайтов.

Исследователи считают, что сейчас обнаруженный вирус находится на ранней стадии развития. Ряд функций в нем реализован не полностью, а некоторые функции еще предстоит увидеть в действии. В какой-то мере его можно считать прототипом будущего серверного супервируса. Сам по себе вирус не распространяет вредоносный контент — эта задача возложена на вспомогательные серверы, размещенные где-то еще. Еще один признак необычной сложности вируса — связь с управляющим сервером осуществляется с использованием шифрованного пароля.

Механизм внедрения iframe-тегов оказался довольно интересным. Вирус не затрагивает уязвимости в Java, Flash, в веб-серверах и других технология. Вместо этого фреймы внедряются прямо в исходящий HTTP-трафик за счет подмены системной функции «tcp_sendmsg».

Дополнительный анализ вируса Snakso-A провела британская компания CrowdStrike. По заявлению британских специалистов, высока вероятность применения этого вируса на сайтах, которые часто посещаются сотрудниками тех или иных организаций, как часть кампании по шпионажу. Также вирус может применяться в атаках типа «водопой», где выбранные жертвы без опаски заходят на проверенный ресурс, уже зараженный злоумышленниками.

По мнению экспертов компании Crowdstrike, вирус мог быть создан на заказ программистами из России, причем программистами среднего уровня без глубоких знаний в работе с ядром Linux. На российское происхождение указывают инструменты и методы, использованные при создании вируса, а также некие факторы, которые компания Crowdstrike отказалась раскрыть.

http://liberatum.ru/news/24860

Серый
Сообщения: 844
Зарегистрирован: 27 сен 2012, 19:20
Темы: 102
Статус: Не в сети

Re: Вирусописатели пробуют свои силы в Linux

Сообщение Серый » 24 ноя 2012, 03:35

Я кстати ставил avast для линукса. Перед этим специально скинул завирусованный файл в папку .wine и в home. Так он ничего не нашёл( Что самое главное при запуске даже не попросил права рута.

Ответить

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей