La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Torna alla lista delle notizie

Doctor Web ha scoperto diverse migliaia di dispositivi Linux infetti

24 gennaio 2017

Ancora alla fine dell'anno scorso gli analisti dei virus Doctor Web segnalavano un aumento del numero di programmi malevoli per SO Linux. Già a gennaio loro hanno scoperto diverse migliaia di dispositivi Linux infettati da un nuovo trojan.

Il trojan, utilizzando il quale i malfattori avevano infettato un grande numero di dispositivi Linux in rete, è stato denominato Linux.Proxy.10. Come suggerisce il nome, il programma malevolo è studiato per avviare su un dispositivo compromesso un proxy SOCKS5 basato sui codici sorgente liberamente distribuiti dell'utility Satanic Socks Server. I malintenzionati utilizzano questo trojan per mantenere l'anonimato in Internet.

Per distribuire Linux.Proxy.10 i criminali informatici si autenticano sui nodi vulnerabili attraverso il protocollo SSH, conservando su un server una lista dei nodi e inoltre le relative credenziali di accesso. La lista segue il modello: «indirizzo_IP:login:password». È interessante notare che gli utenti con tali credenziali di solito vengono creati nel sistema dagli altri trojan Linux. Cioè, Linux.Proxy.10 si infiltra nei computer e dispositivi che hanno le impostazioni standard o sono già infettati dai programmi malevoli per Linux.

screen Linux.Proxy.10 #drweb

Con l'utilizzo di questa lista viene formato uno script che viene eseguito tramite l'utility sshpass sui dispositivi sotto attacco. E quindi lo script infetta il sistema bersaglio dal trojan Linux.Proxy.10.

Inoltre, sul server dei malintenzionati che distribuiscono Linux.Proxy.10 gli analisti Doctor Web hanno trovato, oltre alle liste dei nodi vulnerabili, il pannello di controllo Spy-Agent e un build di un programma malevolo per Windows che appartiene alla famiglia dei noti trojan-spioni BackDoor.TeamViewer.

screen Linux.Proxy.10 #drweb

Per connettersi a un server proxy avviato tramite Linux.Proxy.10, i malintenzionati devono sapere soltanto l'indirizzo IP di un dispositivo infetto e il numero di porta che viene salvato nel corpo del trojan quando viene compilato. Gli specialisti Doctor Web hanno potuto conteggiare i nodi infettati da Linux.Proxy.10: per il 24 gennaio 2017 ammontano a diverse migliaia.

Per proteggere i dispositivi dalle attività del trojan Linux.Proxy.10, se si sospetta un'infezione, è consigliabile eseguire una verifica in remoto attraverso il protocollo SSH tramite Antivirus Dr.Web 11.0 per Linux.

Informazioni sul trojan

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti