Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web ha esaminato due trojan per Linux

5 giugno 2017

Gli analisti dei virus Doctor Web hanno esaminato due programmi malevoli per SO Linux. Uno di loro installa sul dispositivo infetto un'applicazione per l'estrazione delle criptovalute, l'altro avvia un server proxy.

Il primo dei trojan esaminati dagli specialisti Doctor Web è stato aggiunto ai database dei virus Dr.Web sotto il nome di Linux.MulDrop.14. Questo programma malevolo attacca esclusivamente i minicomputer Rasberry Pi. La diffusione di Linux.MulDrop.14 è iniziata nella seconda metà di maggio. Il trojan è uno script, nel cui corpo si conserva in forma compressa e cifrata un'applicazione di mining che è progettata per l'estrazione delle criptovalute. Linux.MulDrop.14 cambia la password sul dispositivo infetto, decomprime e avvia l'applicazione miner dopodiché in un ciclo infinito inizia a cercare nell'ambiente di rete nodi con la porta 22 aperta. Dopo essersi connesso attraverso il protocollo SSH, il trojan tenta di lanciare sui nodi una sua copia.

L'altro trojan è stato chiamato Linux.ProxyM. Attacchi con il suo utilizzo venivano registrati già da febbraio 2017, ma hanno raggiunto un picco nella seconda metà di maggio. Di seguito è presentato un grafico che mostra il numero, registrato da Doctor Web, di attacchi del trojan Linux.ProxyM.

graph #drweb

Una significativa parte degli indirizzi IP da cui vengono effettuati gli attacchi si trova sul territorio di Russia. Alla seconda posizione è Cina, alla terza Taiwan. La distribuzione delle fonti degli attacchi tramite Linux.ProxyM in termini di geografia è mostrata nella seguente figura:

graph #drweb

Il trojan utilizza uno specifico insieme di metodi per rilevare gli honey pot (dall'inglese «vasetto di miele») — appositi server-esca utilizzati da specialisti nella sicurezza informatica per studiare software malevoli. Dopo l'avvio si connette con il suo server di gestione e, ottenuta una conferma, lancia sul dispositivo infetto un server proxy SOCKS. I malintenzionati possono utilizzarlo per mantenere l'anonimato in Internet.

Entrambi questi trojan vengono rilevati da Antivirus Dr.Web per Linux e perciò non rappresentano alcun rischio per i nostri utenti.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A