Вирусописатели адаптировали Linux-трояна под Windows
Компания «Доктор Веб» обнаружила вредоносное ПО, которое изначально было создано для компьютеров под управлением ОС Linux и впоследствии модифицировано вирусописателями для заражения ОС Windows. По словам специалистов компании, подобные случаи крайне редки.
Как сообщили CNews в «Доктор Веб», в мае 2014 г. компания зафиксировала распространение значительного числа различных троянских программ, ориентированных на компьютеры под управлением ОС Linux и предназначенных для организации DDoS-атак. В ходе исследования этих вредоносных приложений вирусные аналитики пришли к выводу, что авторами данных угроз являются китайские вирусописатели. Недавно же было обнаружено еще несколько новых образцов аналогичных вредоносных программ, имевших существенное отличие от своих предшественников: все они, несмотря на очевидное родство с предыдущими модификациями подобных DDoS-троянов, были портированы для работы в операционных системах семейства Microsoft Windows, указали в «Доктор Веб».
Одной из таких вредоносных программ является Trojan.DnsAmp.1, представляющий собой Windows-совместимую версию одного из троянов семейства Linux.DnsAmp. Он устанавливается в систему под видом автоматически запускаемой службы Windows Test My Test Server 1.0, исполняемый файл которой сохраняется в системной папке под именем vmware-vmx.exe. После своего запуска Trojan.DnsAmp.1 отправляет на серверы злоумышленников информацию об инфицированном компьютере и ожидает поступления команды начать DDoS-атаку.
Помимо этого, троян может загрузить и запустить на исполнение другую вредоносную программу. Ряд характерных признаков, обнаруженных специалистами «Доктор Веб» в коде этого трояна, указывает на то, что его авторами являются те же вирусописатели, которые причастны к созданию вредоносных программ семейств Linux.DDoS и Linux.BackDoor.Gates.
Согласно информации, полученной аналитиками «Доктор Веб» в ходе мониторинга заражений в период с 5 июня по 13 августа 2014 г., наибольшее количество DDoS-атак, предпринятых с использованием троянов данного семейства (в первую очередь, Linux.BackDoor.Gates), приходится на китайские сайты (28 093 атаки). На втором месте находятся ресурсы, расположенные на территории США. География зафиксированных компанией «Доктор Веб» DDoS-атак показана на иллюстрации ниже.
Сигнатура данной угрозы добавлена компанией в вирусные базы, поэтому Trojan.DnsAmp.1 не представляет опасности для пользователей антивирусного ПО Dr.Web.
© CNews
