Naujausias virusas „Linux“ operacinėms sistemoms skirtas DDoS atakų vykdymui

„Dr.Web“ saugos saugumo analitikai ištyrė naują virusą „Linux.Mirai“, kuris naudojamas DDoS atakų vykdymui. Kadangi ankstesnės atmainos minėto viruso jau buvo anksčiau išanalizuotos, todėl naujoje versijoje specialistai sugebėjo identifikuoti naujas viruso funkcijas ir keliamas grėsmes.

Pirma versija „Linux.Mirai“ pasirodė 2016 pradžioje ir buvo pavadinta „Linux.DdoS.87“. Minėta versija viruso galėjo veikti įvairiuose prietaisuose naudojančiuose x86, ARM, MIPS, SPARC, SH-4 ir M68K architektūrą. Jis buvo skirtas DDoS atakų vykdymui. „Linux.DDoS.87“ nebuvo tobulas virusas, todėl paskutinė versija buvo gerokai pagerinta. Ši viruso atmaina labai panaši į ankstesnes, kurios po paleidimo ieško analogiškų virusų ir jai juos suranda – neutralizuoja. Tokiu būdu bandoma užvaldyti įrenginį ir pilnai jį kontroliuoti netgi pašalinant galimus „konkurentus“. Toks darbo algoritmas yra gana pavojingas ir netgi pačiam virusui, todėl, kad nesustabdyti ir neutralizuoti pačio savęs, virusas sukuria savo aplanke failą .shinigami ir periodiškai tikrina ar jis yra. Po to virusas jungiasi su serveriu ir laukia tolimesnių instrukcijų. Taip pat išsiunčiama informacija apie Jūsų įrenginio operacinę sistemą, architektūrą ir MAC adresą.

Gavus nurodymus iš serverio virusas gali atlikti DDoS atakas:

• „UDP flood“;
• „UDP flood over GRE“;
• „DNS flood“;
• „TCP flood“;
• „HTTP flood“.

Maksimalus viruso veikimo laikotarpis yra 7 dienos. Po šio laikotarpio virusas susinaikina automatiškai.

2016 metų pradžioje buvo aptikta nauja šio viruso atmaina pavadinimu „Linux.DDoS.89“. Ji buvo praktiškai identiška ankstesnėms versijoms, bet naujame variante buvo pakeista viruso paleidimo tvarka, bei nebandoma tikrinti ar yra vis dar failas .shinigami, bet tikrinamas PID proceso veiksnumas. Taip pat buvo atsisakyti informacijos apie MAC adresą bei išmesta galimybė „HTTP flood“ atakų. Bet atsirado ir naujų komponentų – „Telnet“ skeneris, kuris tikrina visus tinkle esančius prietaisus ir identifikuoja neapsaugotas vietas ir bando prisijungti „Telnet“ protokolu.

Naujausia versija šios atmainos yra „Linux.Mirai“. Naujoje versijoje atsirado funkcija savaiminio pasišalinimo, taip pat blokavimas sisteminio sargo „Watchdog“, bei vėl grįžo galimybė vykdyti „HTTP flood“ tipo atakas.