Naujausias virusas Linux operacinėms sistemoms skirtas DDoS atakų vykdymui

ddos-linux-mazas

Dr.Web saugos saugumo analitikai ištyrė naują virusą Linux.Mirai, kuris naudojamas DDoS atakų vykdymui. Kadangi ankstesnės atmainos minėto viruso jau buvo anksčiau išanalizuotos, todėl naujoje versijoje specialistai sugebėjo identifikuoti naujas viruso funkcijas ir keliamas grėsmes.


Pirma versija Linux.Mirai pasirodė 2016 pradžioje ir buvo pavadinta Linux.DdoS.87. minėta versija viruso galėjo veikti įvairiuose prietaisuose naudojančiuose x86, ARM, MIPS, SPARC, SH-4 ir M68K architektūrą. Jis buvo skirtas DDoS atakų vykdymui.
Linux.DDoS.87  nebuvo tobulas virusas, todėl paskutinė versija buvo gerokai pagerinta. Ši viruso atmaina labai panaši į ankstesnes, kurios po paleidimo ieško analogiškų virusų ir jai juos suranda – neutralizuoja. Tokiu būdu bandoma užvaldyti įrenginį ir pilnai jį kontroliuoti netgi pašalinant galimus „konkurentus“. Toks darbo algortimas yra gana pavojingas ir netgi pačiam virusui, todėl, kad nesustabdyti ir neutralizuoti pačio savęs, virusas sukuria savo aplanke failą .shinigami ir periodiškai tikrina ar jis yra. Po to virusas jungiasi su serveriu ir laukia tolimesnių instrukcijų. Taip pat išsiunčiama informacija apie Jūsų įrenginio operacinę sistemą, architektūrą ir MAC adresą.
Gavus nurodymus iš serverio virusas gali atlikti DDoS atakas:
-UDP flood;
-UDP flood over GRE;
-DNS flood;
-TCP flood;
-HTTP flood.
Maksimalus viruso veikimo laikotarpis yra 7 dienos. Po šio laikotarpio virusas susinaikina automatiškai.
2016 metų pradžioje buvo aptikta nauja šio viruso atmaina pavadinimu Linux.DDoS.89. ji buvo praktiškai identiška ankstesnėms versijoms, bet naujame variante buvo pakeista viruso paleidimo tvarka, bei nebandoma tikrinti ar yra vis dar failas .shinigami, bet tikrinamas PID proceso veiksnumas. Taip pat buvo atsisakyti informacijos apie MAC adresą bei išmesta galimybė HTTP flood atakų. Bet atsirado ir naujų komponentų – Telnet skeneris, kuris tikrina visus tinkle esančius prietaisus ir identifikuoja neapsaugotas vietas ir bando prisijungti Telnet protokolu.
Naujausia versija šios atmainos yra Linux.Mirai. Naujoje versijoje atsirado funkcija savaiminio pasišalinimo, taip pat blokavimas sisteminio sargo Watchdog, bei vėl grįžo galimybė vykdyti HTTP flood tipo atakas.

Šaltinis: http://www.viphost.lt/blog/