Новая версия трояна крадет данные для аутентификации на Linux-серверах
Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — сообщила об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов.
Первые версии вредоносной программы Linux.Sshdkit были зафиксированы «Доктор Веб» еще в феврале 2012 г. Троян представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. После успешной установки в систему троян встраивается в процесс sshd, перехватывая функции аутентификации. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер, рассказали CNews в компании.
Специалисты «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, им удалось собрать статистику не только по количеству зараженных машин, но и определить их адреса. Всего в течение мая 2013 г. троян передал на контролируемый аналитиками «Доктор Веб» управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых, в том числе, встречаются серверы крупных хостинг-провайдеров.
Обнаруженная специалистами «Доктор Веб» новая версия трояна, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троян передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт.
Алгоритм генерации адреса командного сервера
Кроме того, вирусописатели изменили алгоритм получения трояном команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хэш-функции.
В целом, по оценкам экспертов «Доктор Веб», трояны семейства Linux.Sshdkit представляют высокую опасность для серверов, работающих под управлением ОС Linux, поскольку позволяют злоумышленникам получить данные для несанкционированного доступа на сервер. Администраторам серверов, работающих под управлением ОС Linux, в «Доктор Веб» рекомендуют проверить операционную систему на наличие данной угрозы.
© CNews