Троян Linux.PNScan взламывает роутеры и устанавливает бэкдоры

Олег Иванов 25 Августа 2016 - 11:50

Домашние пользователи

Linux

Доктор Веб

Средства контроля внешних устройств

Бэкдоры

Трояны

...

Троян Linux.PNScan взламывает роутеры и устанавливает бэкдоры

Появившийся более года назад троян под Linux в очередной раз нацелен на маршрутизаторы и пытается установить бэкдоры. Linux.PNScan, вредонос, подробно изученный в прошлом году, атаковал устройства с архитектурами ARM, MIPS и PowerPC.

Теперь исследователи в области безопасности из Malware Must Die! говорят, что этот ELF-червь поражает системы x86 Linux. В прошлом году исследователи Doctor Web предположили, что троян устанавливался на маршрутизаторы, используя уязвимость ShellShock. Троян перебирает пароли брутфорсом и устанавливает на маршрутизаторы скрипт, который загружает бэкдор.

Вредонос, которого исследовали эксперты Malware Must Die! является вариацией оригинального трояна Linux.PNScan.1 и называется Linux.PNScan.2. В отличие от Linux.PNScan.1, который пытается взломать комбинации логина с помощью специального словаря, Linux.PNScan.2 нацелен на конкретные IP-адреса и пытается подключиться к ним через SSH , используя одну из следующих комбинаций: root,root; admin,admin; или ubnt,ubnt.

В процессе анализа исследователи Malware Must Die! обнаружили, что троян был сделан с использованием Toolchains и имеет совместимость с GCC(GNU) 4.1.x. Исследователи также обнаружили, что авторы вредоноса используют кросс параметр компилятора для i686 и включенную конфигурацию SSL.

После того, как зловред попал на устройство, он делится на 4 процесса (в дополнение к основному), создавая файлы на устройстве, прослушивая 2 TCP-порта. Червь также способен брутфорсить логины.

Отправляя запросы на twitter.com, Linux.PNScan может скрыть свой вредоносный трафик и мешают анализу. Сформированный вредоносный трафик невозможно отличить от легитимного.

По словам исследователей, вредонос активен уже в течение последних шести месяцев. Исследователи предполагают, что злоумышленники могут быть из России.

Несмотря на то, вредонос не новый, важно повысить осведомленность об этой угрозе, говорят исследователи в области безопасности. Эксперты также отмечают, что зараженные маршрутизаторы имеют следы конкретных запущенных процессов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 29 Августа 2025 - 09:25

Ошибки конфигурации программ Неисправность оборудования Сбои оборудования Общее

Библиотеку GMP уличили в порче топовых процессоров AMD

О неполадках в работе процессоров серии AMD Ryzen 9000 на базе микроархитектуры Zen 5 сообщили разработчики библиотеки GNU GMP, которая используется для выполнения арифметических операций с произвольной точностью.

Как отметили авторы проекта, проблема связана с локальным перегревом процессоров Zen 5. В ходе разработки библиотеки процессор выходил из строя как минимум дважды.

Первый сбой произошёл в феврале 2025 года, после чего чип заменили по гарантии. Однако в августе ситуация повторилась: процессор, установленный уже на другую материнскую плату и с новым блоком питания, снова вышел из строя с аналогичными симптомами. Среди признаков поломки разработчики отмечают появление обесцвеченной области на кристалле.

Предположительно, причина в активном использовании библиотекой циклов с инструкцией MULX. Это ведёт к росту энергопотребления до 170 Вт и значительному нагреву, с которым система охлаждения не справляется. Рекомендации по смещению радиатора в зону перегрева, установке более мощных кулеров или снижению температуры в помещении результата не дали.

Для сравнения, система с процессором AMD Ryzen 7950X, которая применялась для тех же задач и в схожей конфигурации, работала стабильно и не требовала усиленного охлаждения.

Троян Linux.PNScan взламывает роутеры и устанавливает бэкдоры

Читайте также