Новая версия троянца угрожает серверам на базе Linux

Компания «Доктор Веб» обнаружила новую версию троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов, среди которых имеются серверы крупных хостинг-провайдеров.

О первых версиях вредоносной программы Linux.Sshdkit компания «Доктор Веб» сообщала в феврале 2012 года. Данный троянец представляет собой динамическую библиотеку. При всем этом есть ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После удачной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и удачного ввода юзером логина и пароля они отправляются на принадлежащий злодеям удаленный сервер.

Спецы перехватили несколько управляющих серверов предшествующей версии Linux.Sshdkit. Не считая того, удалось собрать статистику не только лишь по количеству зараженных машин, да и найти их адреса. Всего в течение мая 2013 года троянец передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, посреди которых в том числе встречаются серверы больших хостинг-провайдеров.

Обнаруженная новенькая версия троянца, получившая заглавие Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в реальный момент выявлена модификация, созданная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники занесли ряд конфигураций с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили способ определения адресов серверов, на которые троянец передает краденую информацию. Сейчас для вычисления мотивированного сервера употребляется особая текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 б.

Не считая того, вирусописатели изменили метод получения троянцем команд: сейчас для их удачного выполнения вредной программке передается особая строчка, для которой проверяется значение хеш-функции.

Троянцы семейства Linux.Sshdkit представляют высшую опасность для серверов, работающих под управлением ОС Linux, так как позволяют злодеям получить данные для несанкционированного доступа на сервер.