Обнаружен новый Linux-троян, способный осуществлять DDoS-атаки

Эксперты компании «Доктор Веб» опубликовали анализ деятельности нового Linux-трояна, предназначенного для осуществления DDoS-атак. Как полагают исследователи, вредонос, получивший наименование Linux.DDoS.93 (по классификации «Доктор Веб»), распространяется в составе набора уязвимостей ShellShock в GNU Bash.

В процессе запуска троян изменяет содержимое ряда системных папок Linux, обеспечивая собственную автозагрузку. Далее вредоносная программа проверяет наличие на атакуемом компьютере других копий Linux.DDoS.93 и прекращает их работу, если таковые имеются.

После запуска троян создает два дочерних процесса. Первый предназначен для обмена данными с C&C-сервером злоумышленников, второй беспрерывно проверяет работает ли родительский процесс и в случае остановки повторно запускает его. В свою очередь последний также следит за дочерним процессом и по мере необходимости перезапускает его. Таким образом троян обеспечивает свою непрерывную работу на инфицированной системе.

Linux.DDoS.93 может загрузить и запустить указанный в команде файл, запустить процесс самоудаления, а также осуществлять DDoS-атаки различными методами - UDP flood (на указанный или случайный порт), TCP flood, HTTP flood с использованием GET/POST/HEAD-запросов и пр.

При получении команды начать DDoS-атаку, троян прекращает все дочерние процессы, а затем запускает 25 новых процессов для выполнения атаки указанным злоумышленниками способом.