От троянца Linux.Sshdkit пострадали серверы крупных хостинг-провайдеров

«Доктор Веб» сообщил об обнаружении новой версии троянской программы Linux.Sshdkit, представляющей опасность для работающих под управлением ОС Linux серверов. Согласно собранной аналитиками статистике, на сегодняшний день от действий троянцев данного семейства пострадало уже несколько сотен серверов.

О первых версиях вредоносной программы Linux.Sshdkit компания сообщала в феврале 2012 г. Данный троянец представляет собой динамическую библиотеку. При этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux.

Специалисты «Доктор Веб» перехватили несколько управляющих серверов предыдущей версии Linux.Sshdkit. Кроме того, им удалось собрать статистику по количеству зараженных машин и определить их адреса. Всего в течение мая 2013 г. троянец передал на контролируемый компанией управляющий узел данные для доступа к 562 инфицированным Linux-серверам, среди которых в том числе встречаются серверы крупных хостинг-провайдеров.

Новая версия троянца, получившая название Linux.Sshdkit.6, также представляет собой динамическую библиотеку: в настоящий момент выявлена модификация, предназначенная для 64-битных Linux-систем. В данной реализации Linux.Sshdkit злоумышленники внесли ряд изменений с целью затруднить перехват вирусными аналитиками украденных паролей. Так, вирусописатели изменили метод определения адресов серверов, на которые троянец передает краденую информацию. Теперь для вычисления целевого сервера используется специальная текстовая запись, содержащая данные, зашифрованные RSA-ключом размером 128 байт. Алгоритм генерации адреса командного сервера показан на приведенной ниже иллюстрации.

Кроме того, вирусописатели изменили алгоритм получения троянцем команд: теперь для их успешного выполнения вредоносной программе передается специальная строка, для которой проверяется значение хеш-функции.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365