Исследователи утверждают, что вредоносный код предназначен для проведения drive-by атак на 64-битные системы Linux.
Исследователи информационной безопасности обнаружили новый руткит для Linux и после анализа его кода и функциональности заявили, что вредоносное приложение, судя по всему, является специально заказанным инструментом, предназначенным для инъекции фреймов на web-сайтах и перенаправления трафика на вредоносные ресурсы для проведения drive-by атак. Руткит работает исключительно в 64-битных системах Linux и по предположениям экспертов создан не высококвалифицированным разработчиком, а также не предназначен для целевых атак.
Инфицировав систему, вредоносное приложение перехватывает некоторые адреса памяти, после чего сохраняет их для последующего использования. Кроме того, руткит перехватывает несколько функций в ядре, которые используются для сокрытия некоторых файлов на компьютере.
По словам исследователя, Георга Вичерски (Georg Wicherski) из компании CrowdStrike, для захвата различных функций, вредоносное приложение просто перезаписывает ее начальный код. Об этом эксперт сообщил в своем отчете по итогам исследования руткита. Эксперт также отметил, что C&C сервер, от которого вирус получает инструкции, все еще функционирует.
В Лаборатории Касперского (ЛК), в свою очередь, отметили: «Несмотря на то, что качество кода не удовлетворяет требованиям серьезного целенаправленного нападения, интересно отметить, что вирусописатели, показавшие мастерство в атаках на Windows, начинают пробовать свои силы в Linux».
Ознакомиться с отчетом ЛК можно здесь .
Разбираем кейсы, делимся опытом, учимся на чужих ошибках