Почастішали випадки використання трояна Hand of Thief для Linux
Фахівці компанії «Доктор Веб» стверджують , що зловмисники стали активно використовувати Hand of Thief. Більше того, існують спеціальні форуми, де можна купити програму Linux.Hanthie з вмонтованим трояном.
Нагадаємо, що близько двох тижнів тому експерти компанії повідомили про цей троян для дистрибутивів Linux. Він не тільки володіє широким функціоналом, але і залишається невидимим для антивірусних програм.
Після успішної інсталяції вірус обмежує користувачам доступ до адрес, через які можна завантажити оновлення або антивірусне ПЗ.
«Поточна версія Linux.Hanthie не володіє якими-небудь механізмами самокопіювання, тому розробники троянця у своїх повідомленнях на хакерських форумах рекомендують поширювати його з використанням методів соціальної інженерії. Троянець може працювати в різних дистрибутивах Linux, в тому числі Ubuntu, Fedora і Debian, і підтримує вісім типів десктоп-оточень, наприклад, GNOME і KDE », – повідомляють в «Доктор Веб».
Зазначимо, що троян створює виконувану бібліотеку, вбудовану в усі запущені процеси, в папці для зберігання тимчасових файлів. Якщо вірус не вдається вбудувати її в який-небудь процес, то він запускає новий виконуваний файл, який відповідає тільки за взаємодію з керуючим сервером.
Програма може перехоплювати HTTP і HTTPS-сесії і відправляти зловмисникам дані із заповнюваних користувачам екранних форм. Крім того, троян може діяти як бекдор, шифруючи трафік при обміні даними з керуючим сервером.
«Троянець здатний виконати кілька команд, зокрема, по команді socks він запускає на інфікованій машині проксі-сервер, за командою bind запускає скрипт для прослуховування порту, за командою bc підключається до віддаленого сервера, за командою update завантажує і встановлює оновлену версію троянця, а по команді rm – самовидаляється. При спробі звернення до запущеним скриптам bind або bc троянець виводить в командному консолі такі повідомлення», – наводять приклад ІБ-експерти.