Более ранние модификации этой вредоносной программы уже были изучены, поэтому в обновленной версии Linux.Mirai специалисты смогли найти признаки предыдущих версий и даже характерные черты троянцев других семейств.
Первая версия вредоносной программы для Linux, которая впоследствии получила название Linux.Mirai, появилась еще в мае 2016 года и была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87. Этот троянец, способный работать на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K, предназначен для организации атак на отказ в обслуживании, то есть DDoS-атак.
Linux.DDoS.87 содержит в своем коде ряд ошибок, которые были устранены вирусописателями в последующих версиях. Этот троянец имеет определенное сходство с вредоносными программами семейства Linux.BackDoor.Fgt, об одном из представителей которого мы уже писали в ноябре 2014 года. После запуска на зараженном устройстве Linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы избежать случайной остановки собственного процесса, троянец создает в своей папке файл с именем .shinigami и периодически проверяет его наличие. Затем Linux.DDoS.87 пытается установить соединение со своим управляющим сервером для получения дальнейших инструкций. На сервер отправляется идентификатор, определяющий архитектуру инфицированного компьютера, и сведения о MAC-адресе сетевой карты,
По команде злоумышленников Linux.DDoS.87 способен выполнять следующие виды DDoS-атак:
UDP flood;
UDP flood over GRE;
DNS flood;
TCP flood (несколько разновидностей);
HTTP flood.
Максимальный срок непрерывной работы Linux.DDoS.87 на инфицированной машине составляет одну неделю, по истечении которой троянец завершает собственный процесс.
В начале августа 2016 года вирусные аналитики компании «Доктор Веб» обнаружили новую версию этого опасного троянца, получившую наименование Linux.DDoS.89. Эта вредоносная программа имеет множество общих черт со своей предшественницей, однако прослеживаются и характерные отличия от Linux.DDoS.87. Например, в обновленной версии изменился порядок действий при запуске троянца. Механизм защиты от выгрузки собственного процесса также претерпел изменения: теперь вредоносная программа не пытается определить наличие специального файла в собственной папке, а выполняет проверку на основе идентификатора процесса (PID). Среди отсылаемой Linux.DDoS.89 на управляющий сервер информации отсутствует МАС-адрес сетевого адаптера. Кроме того, из списка поддерживаемых типов атак исчез HTTP flood. В то же время формат получаемых от злоумышленников команд остался прежним. Кроме того, в Linux.DDoS.89 появился новый компонент — telnet-сканнер, который ранее использовался во всех версиях Linux.BackDoor.Fgt. Этот сканер предназначен для поиска в сети уязвимых устройств и несанкционированного подключения к ним по протоколу telnet.
В конце августа – начале сентября была обнаружена еще одна обновленная версия этого троянца, получившая название Linux.Mirai. В некоторых образцах вредоносной программы появилась функция самоудаления. Троянец научился отключать предотвращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вернулся HTTP flood. Тем не менее, Linux.Mirai во многом похож на своих предшественников. Для сравнения на иллюстрации ниже показан фрагмент кода Linux.DDoS.87 (слева) и Linux.Mirai (справа).
В Перми полицейские задержали директора и продавца салона сотовой связи за оформление сим-карт на данные посторонних лиц. Задержанным, 1999 и 2003 годов рождения, избрана мера пресечения в виде подписки о невыезде и надлежащем поведении. Расследование продолжается.
О факте задержания сообщил официальный телеграм-канал УМВД по Пермскому краю. По словам самих обвиняемых, они оформляли сим-карты на третьих лиц ради выполнения плана продаж.
Возбуждено уголовное дело по ч. 3 ст. 272 УК РФ — неправомерный доступ к компьютерной информации, совершённый организованной группой либо с использованием служебного положения. Санкции статьи предусматривают до 5 лет лишения свободы или исправительных работ.
«Полиция напоминает: передача персональных данных посторонним может привести к серьёзным последствиям. Злоумышленники могут использовать такую информацию для оформления кредитов на ваше имя или других противоправных действий. Соблюдайте цифровую гигиену, избегайте сомнительных интернет-ресурсов и не передавайте свои данные даже за вознаграждение», — предупреждает УМВД по Пермскому краю.
Сим-карты, оформленные на подставных лиц, часто используются в различных преступных схемах — от взлома аккаунтов до кражи денег через онлайн-банкинг. Известны случаи, когда на номинальных владельцев таких карт оформляли кредиты.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
