Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Троян Linux.Lady, написанный на Go, ворует криптовалюту, заражая серверы Redis

Троян Linux.Lady, написанный на Go, ворует криптовалюту, заражая серверы Redis

Троян Linux.Lady, написанный на Go, ворует криптовалюту, заражая серверы Redis


10.08.2016



Эксперты компании "Доктор Веб" предупреждают о появлении нового трояна, получившего идентификатор Linux.Lady.1. Малварь заражает незащищенные серверы с Redis на борту и способна самостоятельно распространяться от системы к системе, подобно червю.

Исследователи "Доктор Веб" сообщают, что троян способен выполнять ограниченный ряд функций: определять внешний IP-адрес инфицированной машины, атаковать другие компьютеры, скачивать и запускать на зараженной машине программу для добычи (майнинга) криптовалюты, что и является его основной функцией.

Linux.Lady.1 написан на разработанном корпорацией Google языке программирования Go. Опасные приложения, созданные с использованием этого языка, попадались вирусным аналитикам и ранее, но пока встречаются относительно нечасто. В своей архитектуре троянец использует множество библиотек, опубликованных на популярнейшем сервисе хранения и совместной разработки приложений GitHub.

Проникнув в систему, Linux.Lady.1 передает на управляющий сервер информацию об установленной на компьютере версии Linux и наименовании семейства ОС, к которой она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и так далее. В ответ вредонос получает файл конфигурации, с использованием которого скачивается и запускается программа-майнер, предназначенная для добычи криптовалют. Полученные таким образом деньги троянец зачисляет на принадлежащий злоумышленникам электронный кошелек.

Linux.Lady.1 способен определять внешний IP-адрес инфицированной машины с помощью специальных сайтов, ссылки на которые вредоносная программа получает в файле конфигурации.

Также вредонос может атаковать другие компьютеры сети. Для этого он пытается подключиться к удаленным узлам через порт, используемый хранилищем данных Redis (remote dictionary server), без пароля, в расчете на то, что системный администратор атакуемой машины неправильно настроил систему. Если уязвимая система найдена, и удалось установить соединение, троянец записывает в планировщик задач cron удаленного компьютера скрипт-загрузчик, детектируемый под именем Linux.DownLoader.196. Тот, в свою очередь, скачивает и устанавливает на скомпрометированном узле копию Linux.Lady.1. Затем вредоносная программа добавляет в список авторизованных ключей ключ для подключения к атакуемой машине по протоколу SSH.

Это особенность делает Linux.Lady.1  похожим на червь PhotoMiner, который заражал уязвимые FTP-серверы и тоже майнил с их помощью криптовалюту.

Хакер

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"