Новая версия троянской программы Linux.Sshdkit нанесла урон серверам ведущих хостинг-провайдеров
Семейство антивирусов «Доктор Веб» выявило в сети следующую по счету версию троянской программы Linux.Sshdkit. Программа направлена на серверы, работающие под управлением ОС Linux. На сегодня, согласно статистике, троянская программа нанесла урон нескольким сотням серверов.
Первые сообщения о троянской программе появились в феврале прошлого года. Вредоносная программа представляет собой динамическую библиотеку. Обнаружено два типа троянов - для 32-разрядных и 64-разрядных версий дистрибутивов Linux.
Российский производитель антивирусных средств защиты информации сумел перехватить несколько управляющих серверов прошлой версии программы Linux.Sshdkit и собрал общую статистику по всем зараженным машинам, определив их место положения. За май текущего года троянская программа сумела передать на контролируемый компанией узел данные, открывающие доступ к 562 серверам, в числе которых названы серверы крупнейших хостинг-провайдеров.
Обновленный троянец (Linux.Sshdkit.6) – динамическая библиотека. Единственная обнаруженная модификация на сегодня угрожает 64-битным системам Linux. В последнюю версию внесли ряд изменений, при которых перехват вирусными аналитиками украденных паролей значительно затруднен. Конкретно изменен метод, позволяющий определить адрес сервера, который принимает информацию от троянца. Теперь, чтобы определить сервер, потребуется специальная текстовая запись, которая содержит данные, зашифрованные RSA-ключом (размер ключа 128 байт).
Так же авторами нового вируса изменен алгоритм получения команд троянцем. Сейчас программе передается определенная строка, для которой проверяется значение хеш-функций.