"Доктор Веб" сообщил о Linux-трояне, портированном на Windows
15.08.2014
Вредонос относится к семейству Linux.DnsAmp, обнаруженному экспертами из "Доктор Веб" в мае 2014 года, однако отличается от предыдущих версий своей совместимостью с Windows.
Эксперты из ИБ-компании "Доктор Веб" сообщили о вредоносном ПО Trojan.DnsAmp.1, предназначенном для осуществления DDoS-атак. Особенностью этого трояна является то, что он разработан для атак на Linux-системы, однако портирован на Windows. По словам исследователей, портирование разработанных для одной платформы игр и ПО на другую – довольно распространенное явление, однако это редко случается с троянами.
Вредонос относится к семейству Linux.DnsAmp, обнаруженному экспертами из "Доктор Веб" в мае 2014 года, однако отличается от предыдущих версий своей совместимостью с Windows. Троян инсталлируется на систему под видом службы Windows Test My Test Server 1.0 и копирует себя в папке %System32% под именем vmware-vmx.exe.
После этого вредоносное ПО соединяется с C&C-сервером, передает злоумышленникам данные о зараженной системе и ждет команды начать DDoS-атаку. При этом может быть выполнено три команды: "начать DDoS", "остановить DDoS", а также "загрузить и запустить на исполнение файл". Вредонос способен осуществлять DDoS-атаки нескольких видов - Syn Flood, UDP Flood, Ping Flood, HTTP Get Flood и загружать дополнительное вредоносное ПО.
При портировании вредоноса с Linux на Windows разработчики заменили DDoS-атаку через отражение и усиление (DNS Amplification) на HTTP Get Flood.
По словам экспертов, авторами трояна являются китайцы. "В период с 5 июня по 13 августа 2014 года наибольшее количество DDoS-атак, предпринятых с использованием троянцев данного семейства (в первую очередь — Linux.BackDoor.Gates), приходится на китайские сайты (28 093 атаки), на втором месте находятся ресурсы, расположенные на территории США", - говорится в сообщении "Доктор Веб".
