Времена мифов о безопасности *nix-систем и отсутствия для них вирусов и других вредоносных программ давно прошли. Очередным подтверждением этого тезиса стали троянцы Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. Первый представляет собой Perl-скрипт, подключающийся к командному серверу для получения текста спам-сообщения и списка получателей этого сообщения: 
Perl-скрипт рассылающий спам
Второй троянец является исполняемым файлом для Linux и FreeBSD. Файл расшифровывает Perl-скрипт, запускает интерпретатор Perl и передаёт ему получившийся скрипт: 
Расшифровка и запуск Perl-скрипта
Эти вредоносные программы были обнаружены нами на серверах, зараженных троянцем Trojan-Downloader.JS.Iframe.auy, который под видом кодека для просмотра видео перенаправляет посетителей на вредоносные сайты для загрузки эксплойтов и других вредоносных программ. 
Часть вредоносной программы Trojan-Downloader.JS.Iframe.auy, размещенной на зараженных серверах
Страница, предлагающая пользователю установить кодек для просмотра видео
На распространяющем спам-сообщения сайте также находится страница с фальшивым антивирусом not-a-virus:FraudTool.Win32.MalwareDoctor.e, который предлагает «вылечить» компьютер посетителя за $60. 
Сайт поддельного антивируса
На данный момент нам известно около тысячи случаев заражения сайтов вредоносной программой Trojan-Downloader.JS.Iframe.auy и несколько сотен серверов, зараженных программами Trojan-Mailfinder.Perl.Hnc.a и Trojan-Dropper.Linux.Prl.a. Эти сервера постоянно рассылают почтовый спам. Времена безопасности *nix-систем давно прошли. Вдвойне обидно, что системные администраторы, которые должны это понимать и уметь защищаться от всех современных IT-угроз не только сами заражаются вредоносными программами, но еще и заражают ими посетителей своих сайтов, своих клиентов. Стыдно.
Комментарии (4)
старые сверху
«дерево»
0rion28 июн 2009, 13:16
|
|
1 |
|
|
Уточните кое-что
Дабы нам, админам, не было так стыдно и опасно использовать юниксы, уточните, пожалуйста, каким образом вирус проникает в систему? У нас есь ответ (по логам разобрались), но может Вы, как эксперт, откроете нам глаза шире.
Статья хороша в плане описания работы вируса на сервере, но ведь главное - как он туда попал выяснить (чтобы защититься). Проясните, пожалуйста.
|
|
Сергей Голованов11 мар 2010, 14:13
|
|
|
0 |
|
|
Re: Уточните кое-что
в следующем посте есть ответы на эти вопросы:
"...нам удалось выяснить, что данные спам-боты появились на их серверах вследствие 3-х основных причин:
1. кража пароля от FTP, с помощью вредоносных программ;
2. перебор паролей от FTP, SSH по словарю;
3. проникновение через phpbb. "
|
|
|
Александр Чаплыгин29 июн 2009, 08:11
|
|
|
0 |
|
|
"Второй троянец является исполняемым файлом для Linux и FreeBSD" Под root запускается?
|
|
|
Сергей Голованов11 мар 2010, 14:19
|
|
|
0 |
|
|
Re:
В общем случае, к какой учетке получили доступ, с теми правами и работает.
|
|
|
Также в аналитике
В веблоге
В предупреждениях
|
RSS-каналы
