Это новый троян, он может заражать роутеры на архитектуре ARM, MIPS и PowerPC, если они работают на Linux. Его обнаружила компания Доктор Веб. При помощи этой программы злоумышленники могут взламывать систему управления репеляционными БД, также можно подбирать логины и пароли доступа для серверов и устройств через протокол SSH. Изначально на атакуемые маршрутизаторы троян устанавливали сами его авторы, для этого использовались различные уязвимости, сам этот троян распространяет другие, устанавливающие его на роутеры. Он только взламывает роутеры и загружает на них вредоносные скрипт, устанавливает на маршрутизатор бэкдор, исходя из архитектуры. При запуске вируса, используется параметры для определения диапазона IP-адресов для сканирования, также автоматически определяется тип атаки. Для проведения атаки используются RCE-уязвимости. Вирусы регистрируются в автозагрузке маршрутизатора, далее они выбирают из списка адреса управляющего сервера и производят к нему подключение. Они многофункциональны и могут осуществлять атаки различных видов, также они выполняют команды своих авторов, что может привести к взлому админпанелей систем репелляционных БД при помощи специальной утилиты. Специалисты Доктор Веб нашли и троян Linux.BackDoor.Tsunami.150, он также способен проводить DDoS-атаки, у него достаточно много функций, может подбирать пароли для удаленных узлов, если ему это удается, отправляет на них либо другие трояны, либо собирает данные об ОС и отправляет создателям, то есть, он способен отправить на атакованное устройство любые вирусы. У этого вируса есть модификация, этот троян больше ориентируется на удалённые устройства со стандартными паролями, он самостоятельно создает список IP адресов и соединяется с ними, используя логины и пароли. Если соединение успешно, то он помещает в папки атакованного устройства свои файлы и запускает их, периодически вирус повторяет опрос устройств и если они вылечиваются, заражает вновь. На сервере злоумышленников, аналитиками Доктор Веб были найдены и другие вредные программы для взлома сайтов на разных системах управления и интернет магазинов. После взлома, злоумышленники использовали ресурсы как прокси серверы или распространяли через них свои инструменты, там же нашли программу, взламывающую серверы SMTP и программа массово рассылающая спам, через нее шла отправка фишинговых сообщений. Всего, по мнению аналитиков антивирусной компании, эти инструменты виновны в 1439 случаях заражения различных устройств, больше всего пострадали устройства, находящиеся в Японии.
Вернуться к списку новостей →
