Новый мультифункциональный Linux-вредонос может майнить криптовалюту

Новый мультифункциональный Linux-вредонос может майнить криптовалюту

Вредоносные программы для систем Linux становятся все более изощренными и функциональными — в качестве примера можно привести новый троян, обнаруженный специалистами антивирусной компании «Доктор Веб». В отличии от других вредоносов под Linux, получивший имя Linux.BtcMine.174 зловред обладает множеством вредоносных возможностей, среди которых есть криптомайнинг.

Троян представляет собой огромный шелл-скрипт, состоящий из более чем 1000 строк кода. Первым делом этот скрипт находит на диске папку, к которой может получить доступ на запись. После этого он копирует себя в эту папку, а затем загружает дополнительные модули.

После окончательного укоренения в системе вредоносная программа попытается использовать уязвимости эскалации привилегий — CVE-2016-5195 (Dirty COW) и CVE-2013-2094, чтобы получить root-права и, следовательно, полный контроль над системой.

Далее троян регистрирует себя в качестве локального «демона» и даже скачивает для этого утилиту nohup, если ее на момент заражения нет в системе.

Затем уже зловред начинает выполнять вредоносные действия, для которых он и был разработан — криптовалютный майнинг на зараженном устройстве. Для начала Linux.BtcMine.174 ищет и завершает процессы других майнеров-оппонентов. После этого на компьютер жертвы загружается модуль для добычи цифровой валюты Monero.

Примечательно, что вредонос также загружает в систему троян Bill.Gates — известное семейство злонамеренных программ, ориентированное на DDoS-операции. Также Bill.Gates обладает возможностями бэкдора.

Но и это еще не все. Linux.BtcMine.174 пытается отыскать в системе процессы известных ему антивирусных программ, если ему это удается, выполняется завершение этих процессов. По словам аналитиков «Доктор Веб», зловред также копирует себя в etc/rc.local, /etc/rc.d/... и /etc/cron.hourly для обеспечения автозагрузки.

Эксперты опубликовали на GitHub SHA1-хеши компонентов трояна, а также подробный анализ вредоносной программы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Принтеры HP отправляют компании данные о том, что вы печатаете

Разработчик программного обеспечения Роберт Хитон рассказал о своем опыте подключения новенького принтера HP к компьютеру родственников. Изучив процесс и устанавливаемый софт от HP, Хитон пришел к выводу, что устройство может отправлять компании информацию о том, что вы печатаете.

Сначала Хитон обратил внимание, что пользователя пытаются вынудить оформить подписку на дорогие чернила. Для этого предлагается ввести адрес электронной почты в специальное поле. Если пользователь невнимателен или просто не в курсе, что на рынке есть сторонние картриджи, не уступающие по качеству HP и при этом гораздо более дешевые, он пойдет на поводу у предложения.

Однако существеннее то, что привлекло внимание исследователя потом — «Уведомление о сборе данных и настройки».

Если обобщать, HP хочет, чтобы принтер собирал все мыслимые и немыслимые типы данных, о которых обычный пользователь даже не подозревает. Среди собираемых данных: метаданные вашего устройства, информация о документах, которые вы печатаете (включая дату и время, количество страниц и приложение, с помощью которого пользователь печатает).

Впоследствии HP использует полученную информацию для самых разных целей, самой вопиющей из которых, пожалуй, является отображение релевантной рекламы. И весь сбор пользовательских данных происходит благодаря приложению, отвечающему за установку и подключение принтера к компьютеру.

«Я думаю, что принтер сам извлекает данные пользователя и отправляет их компании, то есть там вряд ли задействовано какое-либо клиентское программное обеспечение. Как только представители HP получат ваши данные, они могут делать с ними все, что захотят. Мне кажется, компания особо не беспокоится о своей репутации, а просто пытается перехватить любую информацию, которая потенциально может стоить денег», — пишет Роберт Хитон.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru