Появление новых троянцев-бэкдоров, способных выполнять команды злоумышленников и предоставлять возможность удаленного управления зараженным компьютером, всегда является значимым событием в сфере информационной безопасности. Тем более, если такие вредоносные программы предназначены для операционных систем семейства Linux.
В апреле вирусные аналитики компании «Доктор Веб» обнаружили сразу несколько подобных троянцев, получивших названия Linux.BackDoor.Xudp.1, Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 соответственно.
Первым звеном в цепочке заражения является ELF-файл, детектируемый Антивирусом Dr.Web под именем Linux.Downloader.77. Примечательно, что изначально это приложение предназначено для организации одной из разновидностей атак на удаленные узлы путем массовой отправки на заданный адрес UDP-пакетов. Linux.Downloader.77 — это «троянизированная» версия упомянутой программы. Потенциальная жертва самостоятельно загружает и запускает на своем компьютере эту утилиту, которая при загрузке просит у пользователя предоставить ей привилегии root, — без этого она отказывается работать. Следует отметить, что подобные программы-«флудеры» нередко реализуют дополнительные скрытые функции – например, могут загружать из Интернета другие опасные программы. В этом отношении не является исключением и Linux.Downloader.77,
Если Linux.Downloader.77 получает root-полномочия, он скачивает с сервера злоумышленников и запускает другой скрипт – Linux.Downloader.116. Этот сценарий загружает основной модуль бэкдора Linux.BackDoor.Xudp.1, сохраняет его под именем /lib/.socket1 или /lib/.loves, размещает сценарий автозапуска в папке /etc/ под именем rc.local и настраивает задачу автоматического запуска троянца в cron. Помимо этого в процессе установки вредоносной программы очищается содержимое iptables.
После запуска Linux.BackDoor.Xudp.1 расшифровывает хранящийся в его теле блок конфигурационных данных, содержащих необходимую для его работы информацию, и отправляет на сервер сведения об инфицированном компьютере. После этого он запускает три независимых потока. В первом из них бэкдор использует протокол HTTP. Троянец отсылает на управляющий сервер сообщение о том, что он запущен, получает ключ для шифрования сообщений, данные о сервере, на который следует отправлять запросы, и номер порта. После этого Linux.BackDoor.Xudp.1 с определенной периодичностью отправляет на этот сервер запросы, в ответ на которые ему может поступить какая-либо команда. Предположительно, этот механизм может использоваться для самообновления вредоносной программы. Все поступающие директивы зашифрованы, и троянец расшифровывает их с помощью сгенерированного им ключа.
Во втором потоке Linux.BackDoor.Xudp.1 также ожидает получения от сервера управляющих команд, только по протоколу UDP. В третьем потоке троянец отправляет на управляющий сервер с заданным интервалом времени определенную дейтограмму, чтобы сообщить, что он все еще работает.
Среди команд, которые способен выполнять Linux.BackDoor.Xudp.1, исследователи выявили приказ на непрерывную отправку заданному удаленному узлу различных запросов (флуд), осуществление DDoS-атак, выполнение произвольных команд на зараженном устройстве. Также Linux.BackDoor.Xudp.1 способен по команде сканировать порты в заданном диапазоне IP-адресов, может запускать указанные злоумышленником файлы, выслать им какой-либо файл, а также выполнять иные задачи. Вирусные аналитики компании «Доктор Веб» отмечают, что этот троянец, по всей видимости, находится в процессе активной разработки — его новые модификации появляются с завидной регулярностью.
Троянцы Linux.BackDoor.Xudp.2 и Linux.BackDoor.Xudp.3 являются усовершенствованными версиями бэкдора Linux.BackDoor.Xudp.1 и отличаются от него лишь некоторыми деталями — например, именем, под которым вредоносная программа сохраняется в системе, объемом отсылаемой на управляющий сервер информации о зараженной машине или набором выполняемых команд.
Intel выпустила новый драйвер для Wi-Fi версии 24.20.0 для поддерживаемых сетевых адаптеров и актуальных версий Windows. Главное нововведение — изменённый подход к роумингу между точками доступа, который должен сделать беспроводное соединение стабильнее, особенно в сложных сетях.
В настройках драйвера появился параметр, позволяющий выбирать, по какому принципу система переключается между точками доступа.
Теперь можно ориентироваться не только на уровень сигнала, но и на загруженность канала. Идея в том, чтобы устройство подключалось к менее перегруженной точке, даже если уровень сигнала у неё чуть ниже, что в теории может положительно сказаться на стабильности и скорости соединения.
При желании можно оставить привычный алгоритм, основанный только на мощности сигнала.
Помимо этого, Intel заявляет об общем повышении стабильности системы и надёжности подключений Wi-Fi, а также о доработках функций сетевого мониторинга и исправлении ряда мелких проблем, которые могли влиять на производительность и совместимость. В компании отмечают, что обновление включает и другие изменения, не вынесенные отдельно в описание релиза.
Драйвер 24.20.0 поддерживает широкий круг адаптеров Wi-Fi от Intel — от моделей с Wi-Fi 6 и 6E до новых карт с поддержкой Wi-Fi 7, а также более старые решения Wireless-AC.
Он рассчитан на 64-битные версии Windows 10 и Windows 11, при этом 32-битная Windows 10 не поддерживается. Важно учитывать, что полноценная поддержка Wi-Fi 7 доступна только в Windows 11 версии 24H2 и новее, так что пользователям Windows 10 воспользоваться новым стандартом не получится.
Обновлённый драйвер уже доступен для загрузки на официальном сайте Intel, и компания рекомендует установить его для повышения стабильности беспроводного соединения.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
