Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.LuaBot.29

Добавлен в вирусную базу Dr.Web: 2017-04-26

Описание добавлено:

SHA1:

LM-модули:

  • b86935c4539901cdec9081d8a8ca915903adaff1
  • ce4b3c92a96137e6215a5e2f5fd28a672eddaaab
  • 51a4ca78ebb0649721ae472290bea7bfe983d727
  • bf4d9e25fc210a1d9809aebb03b30748dd588d08
  • 8a0d58472f6166ade0ae677bab7940fe38d66d35
  • 979fb376d6adc65473c4f51ad1cc36e3612a1e73
  • 4df58ab26f0fc8ec2d1513611ca2b852e7107096
  • 2a809d37be5aa0655f5cc997eb62683e1b45da17
  • f73022a4801e06d675e5c3011060242af7b949ad
  • 688ccbca8b2918a161917031e21b6810c59eeab0
  • c22f0fb01c6d47957732a8b0f5ef0f7d4e614c79
  • 41bf0d5612ba5bc9a05e9d94df0f841b159264a0
  • 1cc1b97f8f9bb7c4f435ef1316e08e5331b4331b
  • a1f2535576116d93b62d7f5fc6e30e66e0e0a216
  • ac094b239851eaf2e9fd309285c0996fb33771a8
  • 8e3c4eb04d4cfd8f44c721111c5251d30ac848b6
  • d8a5d9c4605b33bd47fedbad5a0da9928de6aa33
  • 2889803777e2dfec7684512f45e87248a07d508f
  • b14f7af9665ef77af530109a0331f8ca0bd2a167
  • 5a88b67d8dfaf1f68308311b808f00e769e39e46
  • ba5df105496b0c4df7206d29fa544b7a7a346735
  • a358bf8a9ad25f210db44252767a2ef3706c7866
  • f1c88267459cfaa46bfee6f8655e07e4d610d999
  • d5f8078acb5d144912b3b604a44b8e82c6babc0d
  • 3ffef7c0b52493854f982b30ba75380af76d860f
  • 1a79092c6468d39a10f805c96ad7f8bf303b7dc8
  • f84fc11f79bd2ccd33d37c71e6a5c8f55ecdf3f7
  • 3f666ef113a74eddb9bc324829f8b16c45e92213
  • ec2e8e9a6f50dbc6766d9af90ef4656c9dfef2f6
  • 141f9a40cab04cc4b480323f3c84b7134d9c55f6
  • 05eb47f3fb2283f4aaaa842211c3babd20306e70
  • cd3e216da075f30f242cba3ca878305ed10ea3e1
  • 6c0d96f481a1d9ea3abf54ec76dac5a449ece536
  • 689c26a8ede9bb399e010b82877e961bebd3afaa
  • 877156682bcb30d2c03bb9be30f8ab641a1abebf
  • db149c873e833920614db422eb79b50835832dcd
  • cf69e85f6336e06d2a4217dc26297e17035daf03
  • 6f955867f4291fc1db9efa20f5133f4de097a2cd
  • ea059e4986acb65c60fcc661abbd2ab222e2ad02
  • 4d50412dba1f7bb9aea8deddf64f034241b7e1c2
  • 432741a58785db6b757e2fb3bde13b13672e3932
  • 7a8b07ea81ced0cd408fa46cc21711b6bc412422
  • aa2135b4e21b278a42209c4a72dcb27198d76151
  • ac7353acc2239ed6feb1704af17b59bc53376020
  • 65174284676f1fe905e5db81d3b7911b120085e1
  • d6b37e3cf7391216811ce2426c17c489df83e261
  • 019f29e23e3183059b60b5b1fd267e9f0197068c
  • 3c38f33c224ee7c1c086f890033001815f1afa66

Модули dl:

  • 4ddec62c8a335ff3a3997ce48819c0d23d92f621
  • 0f55ffa6f8299b00e1529efc3d65e401fa4846f4
  • 96d213747857265a9b76c26abab1c5c8fcb3f87b
  • 274181d2f9c6b8f0e217db23f1d39aa94c161d6e
  • 8abbb049bffd679686323160ca4b6a86184550a1
  • 9cde845852653339f67667c2408126f02f246949
  • 95444c2ccc5fff19145d60f1e817fd682cabe0cd

Модули dm:

  • 105cc7d967da90ed5ad46a5825c5365296c70fb5
  • 59f9c1490f78e202f7a63cc634000cf504ce152d
  • d2b876473cc54ca772b304114155ac2781a8e83c
  • dface45261d62769cbb2c0a435c3ea0a7ba7425e
  • b624c9a0aeacf2d5869e598a0b004f1a5fda9ebe
  • 6ab9e1c83276db2d9057a5f5cc6821897af2a83b
  • f2b44b7fb39d5628109eb128caebe3c481dd16d2
  • 42d965a29b77e8261c9b5a1525933861b4cfd052
  • 52e833630b141648e61e56175d371cbe19c1e607
  • b3670fe162a461b9e5744ff25041722f7ce1b209
  • b936492f17328852ca7adc33c6229a28b4423ecd
  • 900edeaa548a935cd2f431be48d1e5cb445c382f
  • 956e903ed42e7eadb8cedb3d2a5b216ca7fc8991
  • 70e883bdfd576fa6d1f621be3752e651472e1f82
  • eebabf60bf9bddf0ee9ef5c453320089ef5f80a7
  • a594f6ad9e23b8bd1e07b54b5755f1d042238a42
  • a2d51bffa629851734d51823319c9dccf1a5d6c0
  • c4f4b1075115ecdb1e906cc15b5545d0e600956f
  • 0b303ad8c481dcf039d2cae03c890b3894e7cf92
  • 26bb4336be46f6fceb5bb63d67795c5cb13e2f54
  • c0053ebd64f09f324b6dfa31264f107acf45b59d
  • 70bd08854371e869eaa030dec69f5bed68189edb
  • dd400d68bd634fa776a7dc2b1e30414d08393311
  • 1de17117a226a1788c6e57fa39ac4f218db2f73d

Троянец для ОС Linux, написанный на скриптовом языке Lua. Первые атаки с использованием представителей данного семейства были зафиксированы в декабре 2016 года. С тех пор эти вредоносные программы непрерывно эволюционируют и совершенствуются. Троянец состоит из 31 сценария на языке Lua, упакован с использованием UPX, запакованные скрипты дописаны в конец упакованного файла между тэгами "--block–" и "--block-end–". Список содержащихся в троянце сценариев:

async.lua
bencode.lua
bfssh.lua
bfssh.lua.old2
bftelnet.lua
btloader.lua
callhome.lua
callhome.lua.old
config.lua
crypto.lua
dht.lua
http.lua
httpproto.lua
main.lua
persist.lua
readme.lua
routing.lua
scanner.lua
server.lua
socks.lua
ssh.lua
ssl.lua
telnet.lua
test.lua
test2.lua
test3.lua
threads.lua
torrent.lua
udp.lua
utils.lua
worm.lua

bfssh.lua

Сценарий, предназначенный для атаки на удаленные узлы методом перебора логинов и паролей по словарю (брутфорс). Для подбора используются следующие значения:

	{"admin","admin"},
	{"root","root"},
	{"adm","adm"},
	{"ubnt","ubnt"},
	{"root",""},
	{"admin",""},
	{"adm",""},	
	{"user","user"},
	{"pi","pi"},

В сценарии содержится список подсетей, атака на которые не выполняется:

	"0.0.0.0/8",
	"10.0.0.0/8",
	"100.64.0.0/10",
	"127.0.0.0/8",
	"169.254.0.0/16",
	"172.16.0.0/12",
	"192.0.0.0/24",
	"192.0.2.0/24",
	"192.88.99.0/24",
	"192.168.0.0/16",
	"198.18.0.0/15",
	"198.51.100.0/24",
	"203.0.113.0/24",
	"224.0.0.0/4",
	"255.255.255.255/32",

Сценарий проверяет архитектуру атакуемого устройства по заголовку файла "/bin/ls" целевого устройства. Троянец способен заражать устройства с архитектурами Intel x86 (и Intel x86_64), MIPS, MIPSEL, Power PC, ARM, SPARC, SH4, M68k:

screenshot #drweb

Начиная с самых ранних известных нам версий троянец предпринимает попытки детектирования ханипотов с использованием команды "echo -en":

screenshot #drweb

При загрузке на атакуемое устройство соответствующей архитектуры он сохраняется в файл "/tmp/drop":

screenshot #drweb

При атаке по протоколу SSH троянец загружается в файл /tmp/drop и запускается.

Информация о скомпрометированных устройствах сохраняется в текстовом файле ssh.txt в следующем формате:

ip;port;user;password;arch

Где:

  • ip — IP-адрес взломанного устройства;
  • port — порт для подключения;
  • user — имя пользователя;
  • password — пароль;
  • arch — архитектура устройства.
  • bftelnet.lua

bftelnet.lua

Этот сценарий работает так же, как и bfssh.lua. Для подбора пар логинов и паролей используются следующие значения:

local accounts={
    {"admin","admin"},
    {"root","root"},
    {"adm","adm"},
    {"acer","acer"},
    {"user","user"},
    {"security","security"}
}

В процессе атаки по протоколу Telnet на скомпрометированный узел сначала загружается небольшой модуль dl, который используется для скачивания самого троянца. Информация о скомпрометированных устройствах сохраняется в текстовом файле telnet.txt.

server.lua

В этом сценарии реализован HTTP-сервер троянца. Порт указан в конфигурационном файле вредоносной программы: по умолчанию используется порт 8888. HTTP-сервер может выполнять следующие запросы:

  • /upload – сохранить и выполнить файл. При загрузке проверяется подпись файла имеющимся в конфигурации публичным ключом.
  • /info – возвращает информацию о троянце в формате JSON, включая версии Lua и бэкдора, а также сведения об архитектуре устройства и модулях троянца. В версии, обнаруженной в мае 2017 года, эта функция отключена.
  • Для остальных запросов троянец определяет basename запроса (имя файла) и проверяет его наличие в рабочей папке троянца. Если файл присутствует – передает его, в противном случае возвращает ошибку 404.

httpproto.lua

Сценарий содержит функции для работы по протоколу HTTP, в том числе функции шифрования трафика при обмене данными с управляющим сервером. В передаваемых на управляющий сервер и обратно пакетах значение первого DWORD содержит ключ RC4 для шифрования, в расшифрованной информации первый DWORD содержит CRC32 от данных.

В поступающих от управляющего сервера пакетах помимо RC4 и CRC32 также обязательно должна присутствовать подпись ed25519, которая проверяется ключом из конфигурации троянца.

btloader.lua

Сценарий, в котором реализованы функции для работы P2P-сети, в частности, получение файлов конфигурации и модулей с использованием протокола Bittorent DHT. Все файлы конфигурации и списки обновлений снабжаются подписью для проверки подлинности.

Для получения обновлений сценарий обращается к P2P-сети, при этом формирует info_hash в формате sha1('%s%s' % (pub_key, name)), где pub_key – публичный ключ из конфигурационного файла троянца, name – имя конфигурационного файла (server, update, script). Получаемые данные имеют следующую структуру:

{
'k': '\xc6Z7\xab\xd4\xae\x10\xca\xcf\xc7f\x9d\xf4Vx\x19f\xc6\x86$@\xe0\x19!\xef\xf7\xdd\x9b\xe9,s\xca',
'sig': '\xb51\xdai\xb9\xc1\xd9\xc6k8h\xf5\xe4j\x889\xdf\xa9XW@\x08T\x0c328_\x99\xac\xeeqt{\xff[F^\xdfT\x87\xa8X\xde\x9d\xff\xabg\xc0\x16_\x83\xa6\xd7\xc0\xb0\xfd\x1d\xdc~\xf0*\xb5\x0c',
'seq': 1493655967,
'v': '176.***.***.145:8080\n'
}

где k – публичный ключ, sig – подпись, seq – timestamp создания/подписывания данных, v – полезная нагрузка. Если значение seq больше значения seq у имеющегося конфигурационного файла, он будет заменен конфигурационным файлом, полученным из сети.

После получения свежих конфигурационных файлов троянец запускает два потока, один для конфигурации update, другой — для конфигурации script. Эти потоки разбирают конфигурационные файлы и извлекают из них пары «имя-хэш». Затем в P2P-сеть отправляется запрос на поиск пиров, обладающих info_hash, который сформирован как sha1('%s%s%s' % (name, seq, data)), где name – имя конфигурации (update/script), seq – его timestamp, data – данные конфигурации. Все обнаруженные пиры считаются серверами раздачи. Троянец последовательно скачивает с каждого из серверов файл и проверяет его хэш на совпадение с искомым. Для всех файлов, за исключением скриптов, также проверяется цифровая подпись.

banner.lua

Сценарий содержит следующий текст:

  ВСЁ ИДЁТ ПО ПЛАНУ
А при коммунизме всё будет за**ись
Он наступит скоро — надо только подождать
Там всё будет бесплатно,там всё будет в кайф
Там наверное вощще не надо будет (умирать)
Я проснулся среди ночи и понял, что -
           ВСЁ ИДЁТ ПО ПЛАНУ

persist.lua

Сценарий содержит функции для установки троянца в автозагрузку с использованием Cron или системной службы. Для этого вредоносная программа создает символические ссылки на копию своего исполняемого файла:

screenshot #drweb

socks.lua

Создает SOCKS5 прокси-сервер на порту, указанном в конфигурационном файле.

worm.lua

Сценарий, предположительно предназначенный для самообновления троянца в условиях нерабочего P2P-соединения. Сканирует подсети в поисках устройств, зараженных собственными копиями (проверяет ip:8888/info) и сохраняет на эти устройства все свои lm-сценарии по запросу (ip:8888/upload).

Модуль dl

Этот модуль устанавливается на взломанное по протоколу Telnet устройство в файл "/tmp/srv" и запускается с перенаправлением stdout в файл /tmp/drop. Троянец подключается к порту, с которым взаимодействует модуль dl, и скачивает на скомпрометированное устройство свою копию. Затем он подключается к скомпрометированному устройству и устанавливает права доступа на файл /tmp/drop, после чего запускает собственную копию.

Модуль dm

Усовершенствованная версия модуля dl. На скомпрометированном устройстве устанавливается в папку "/tmp/dwl" и запускает с перенаправлением stdout в файл. Принимает на вход аргумент, в котором указана ссылка на файл, и скачивает этот файл в stdout.

Версии

На сегодняшний день известны следующие версии троянца:

Дата сборкиИзвестные модулиОсобенности
2016-11-27i686.dl, mips.dl, mipsel.dl
2016-12-14 i686.dl, mips.dl, mipsel.dl, armv4l.dl
2017-02-06mipsel.lmПервая известная версия lm-модуля.
2017-02-12i686.lm, mips.lm, mipsel.lm, armv4l.lm, powerpc.lmУдален сценарий worm.lua.
2017-02-19i686.lm, mips.lm, mipsel.lm, armv4l.lm, powerpc.lm
  • Упакован UPX, в конце файла содержится только подпись.
  • В распакованном файле в секции ".data" после основного скрипта находится gzip-архив со скриптами.
  • Из конфигурации убрана переменная loaderPort, в которой хранился порт для работы модуля dl.
  • Частично переписан код, отвечающий за сетевую активность.
  • Отключены создание SOCKS5 прокси-сервера, запуск взлома по протоколу SSH и инициализация P2P общения.
2017-02-28i686.lm, mips.lm, mipsel.lm, armv4l.lm, powerpc.lmСнова добавлен модуль для взлома по протоколу SSH и модуль P2P.
2017-03-08i686.lm
  • В конфигурацию добавлена переменная fileServers (для сохранения серверов раздачи модулей).
  • HTTP-сервер в /info вместо списка "dl" модулей возвращает список "dm" модулей.
2017-03-12i686.lm, mips.lm, mipsel.lm, armv4l.lm
  • Добавлен модуль wachdog.lua, который обеспечивает запуск, мониторинг и взаимодействие модулей.
  • В конфигурацию добавлен параметр "installName", задающий имя, под которым троянец устанавливается в систему.
2017-04-10i686.dm, mips.dm, mipsel.dm, armv4l.dm, powerpc.dm, sh4.dm, mipsel.lm, armv4l.lm, powerpc,lm
  • начительно переписаны модули telnet.lua и bftelnet.lua.
  • Вместо модуля dl теперь используется модуль dm.
  • Значительно расширен список login:password для взлома узлов по протоколу Telnet.
2017-04-11i686.lm, mips.lm, mipsel.lm, armv4l.lmЗначительно расширен список login:password для взлома узлов по протоколу SSH.
2017-04-15i686.dm, mips.dm, mipsel.dm, armv4l.dm, powerpc.dm, sh4.dm, i686.lm, mips.lm, mipsel.lm, armv4l.lm, powerpc.lm, sh4.lmИсправлена ошибка в сценарии bftelnet.lua.
2017-04-29i686.dm, mips.dm, mipsel.dm, armv4l.dm, powerpc.dm, sh4.dm, i686.lm, mips.lm, mipsel.lm, armv4l.lm, powerpc.lm, sh4.lm
  • Из сценариев удален закомментированный отладочный код.
  • В конфигурацию добавлены параметры "httpDir" (каталог с модулями), "rootDir".
  • Порт HTTP-сервера теперь выбирается случайным образом (в диапазоне от 1024 до 61000)
  • Полностью удален код SOCKS5 прокси-сервера.
2017-05-01i686.dm, mips.dm, mipsel.dm, armv4l.dm, powerpc.dm, sh4.dm, i686.lm, mips.lm, mipsel.lm, armv4l.lm, powerpc.lm, sh4.lmИзменен адрес управляющего сервера.

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру