Червь Darlloz поразил около 32 тысяч систем на базе Linux

21 марта 2014 года

Компания Symantec провела анализ степени поражения систем червём Linux.Darlloz. Червь был выявлен в ноябре прошлого года и воспринимался как малоопасный прототип, так как для его распространения использовалась база из около десятка типовых паролей и эксплоит для уязвимости в CGI-режиме PHP, исправленной два года назад. Тем не менее, сканирование всего диапазона IP-адресов, показало, что червём Linux.Darlloz уже поражено почти 32 тысяч систем.

Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http-сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути. Червь изначально рассчитан на поражение устройств, постоянно подключенных к сети и остающихся без внимания пользователей, которые часто оставляют неизменными заводские параметры входа. В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC. Тем не менее, 43% поражённых систем составили работающие под управлением Linux компьютеры и серверы на базе архитектуры x86, и только 38% - специализированные устройства.

Интересно, что в качестве одной из функций червя является майнинг криптовалюты Mincoins и Dogecoins, который выполняется только на Linux-системах с архитектурой x86 и не затрагивает специализированные устройства. При этом злоумышленникам удалось заработать на майнинге всего около 200 долларов.

Дополнительно, можно отметить сообщение в блоге компании Cisco об увеличении интенсивности атак, направленных на поражение давно не обновляемых web-серверов на базе Linux, использующих устаревшие версии ПО. За последние дни выявлено 2700 поражённых систем, при этом 17 и 18 марта фиксировалось поражение около 400 новых хостов в день. После получения контроля над системой, вредоносное ПО осуществляет подстановку платной рекламы и кода для поражения клиентских систем на страницы сайтов, размещённые на поражённой системе. Предполагается для распространения вредоносного ПО используется какая-то удалённая уязвимость, исправленная в свежих версиях серверного ПО, но проявляющаяся на устаревших системах.

Также выявлены новые варианты вредоносного ПО, поражающего устаревшие системы, подверженные уязвимости в CGI-режиме PHP. Анализ показал, что около 16% всех сайтов используют устаревшие версии PHP (5.3.12- и 5.4.2-), в которых не исправлена уязвимость (не сообщается сколько из этих сайтов использует PHP в режиме CGI и подвержены применению эксплоита).

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Червь Darlloz поразил около 32 тысяч систем на базе Linux», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.