Linux-троянец для DDoS-атак

Компания «Доктор Веб» сообщила о том, что ее аналитики исследовали новую вредоносную программу, предназначенную для организации DDoS-атак. Троянец, получивший название Linux.DDoS.93, создан для заражения устройств под управлением ОС семейства Linux. Предположительно он распространяется при помощи набора уязвимостей ShellShock в программе GNU Bash.

При запуске Linux.DDoS.93 пытается изменить содержимое ряда системных папок Linux, чтобы обеспечить собственную автозагрузку. Затем троянец ищет на атакуемом компьютере другие экземпляры Linux.DDoS.93 и, если таковые нашлись, прекращает их работу.

Успешно запустившись в инфицированной системе, Linux.DDoS.93 создает два дочерних процесса. Первый обменивается информацией с управляющим сервером, а второй в непрерывном цикле проверяет, работает ли родительский процесс, и в случае остановки перезапускает его. В свою очередь родительский процесс тоже следит за дочерним и перезапускает его при необходимости – так троянец поддерживает свою непрерывную работу на зараженной машине.

Linux.DDoS.93 умеет в числе прочего выполнять команды, позволяющие начать атаку несколькими методами (UDP flood, TCP flood, HTTP flood) на различные порты и с использованием различных запросов. Когда троянец получает команду начать DDoS-атаку или отправить случайные запросы, он сначала прекращает все дочерние процессы, а затем запускает 25 новых процессов, которые и выполняют атаку указанным методом.

Сигнатура Linux.DDoS.93 добавлена в вирусные базы продуктов Dr.Web.