Linux-троянец – добытчик криптовалюты

Как сообщает компания «Доктор Веб», ее вирусные аналитики обнаружили и исследовали нового троянца для ОС семейства Linux, способного запускать на зараженном компьютере программу для добычи криптовалют. Особенность этой программы в том, что она написана на разработанном корпорацией Google языке программирования Go. Опасные приложения, созданные с использованием этого языка, попадались вирусным аналитикам и ранее, но в целом пока встречаются нечасто.

Троянец, получивший наименование Linux.Lady.1, способен выполнять ограниченный ряд функций: определять внешний IP-адрес инфицированной машины, атаковать другие компьютеры, скачивать и запускать на зараженной машине программу для майнинга криптовалют. В архитектуре троянца используется множество библиотек, опубликованных на сервисе хранения и совместной разработки приложений GitHub.

После запуска Linux.Lady.1 передает на управляющий сервер информацию об установленной на компьютере версии Linux и семействе ОС, к которому она принадлежит, данные о количестве процессоров, имени, числе запущенных процессов и иные сведения. В ответ троянец получает конфигурационный файл, с использованием которого скачивается и запускается программа-майнер, предназначенная для добычи криптовалют. Полученные таким образом деньги троянец зачисляет на принадлежащий злоумышленникам электронный кошелек.

Linux.Lady.1 умеет определять внешний IP-адрес инфицированной машины с помощью специальных сайтов, ссылки на которые вредоносная программа получает в файле конфигурации, и атаковать другие компьютеры из этой сети. Троянец пытается подключиться к удаленным узлам через порт, используемый журналируемым хранилищем данных Redis (remote dictionary server) без пароля, в расчете на то, что системный администратор неправильно настроил систему. Если соединение удалось установить, троянец записывает в планировщик задач cron удаленного компьютера скрипт-загрузчик, детектируемый Антивирусом Dr.Web под именем Linux.DownLoader.196, а тот, в свою очередь, скачивает и устанавливает на скомпрометированном узле копию Linux.Lady.1. Затем вредоносная программа добавляет в список авторизованных ключей ключ для подключения к атакуемой машине по протоколу SSH.

Как подчеркивают в компании, Антивирус Dr.Web детектирует и удаляет вредоносные программы Linux.Lady.1 и Linux.DownLoader.196.