Kev tshawb nrhiav chaw kuaj mob 360 Netlab tau tshaj tawm txog kev txheeb xyuas cov malware tshiab rau Linux, codenamed RotaJakiro thiab suav nrog kev siv lub nraub qaum uas tso cai rau koj los tswj lub kaw lus. Cov malware tuaj yeem raug teeb tsa los ntawm cov neeg tawm tsam tom qab siv qhov tsis muaj qhov tsis zoo hauv lub kaw lus lossis twv tus password tsis muaj zog.
Lub backdoor tau tshawb pom thaum lub sij hawm kev soj ntsuam ntawm kev tsis txaus siab ntawm kev khiav tsheb los ntawm ib qho ntawm cov txheej txheem txheej txheem, txheeb xyuas thaum tshawb xyuas cov qauv ntawm botnet siv rau DDoS nres. Ua ntej qhov no, RotaJakiro tseem tsis tau kuaj pom tau peb xyoos; tshwj xeeb, thawj zaug sim luam theej duab cov ntaub ntawv nrog MD5 hashes sib piv cov txheeb cais malware hauv VirusTotal cov kev pabcuam tau sau hnub tim 2018.
Ib qho ntawm cov yam ntxwv ntawm RotaJakiro yog kev siv cov txheej txheem camouflage sib txawv thaum khiav raws li tus neeg siv tsis muaj cai thiab hauv paus. Txhawm rau nkaum nws lub xub ntiag, lub nraub qaum siv cov txheej txheem npe systemd-daemon, kev sib kho-dbus thiab gvfsd-tus pab cuam, uas, muab qhov kev cuam tshuam ntawm Linux niaj hnub faib nrog txhua yam txheej txheem kev pabcuam, thaum xub thawj siab ib muag zoo li raug cai thiab tsis ua rau muaj kev poob siab.
Thaum khiav nrog cov cai hauv paus, cov ntawv sau /etc/init/systemd-agent.conf thiab /lib/systemd/system/sys-temd-agent.service tau tsim los qhib cov malware, thiab cov ntaub ntawv ua phem rau nws tus kheej tau nyob raws li / bin/systemd/systemd -daemon thiab /usr/lib/systemd/systemd-daemon (functionality tau duplicated hauv ob cov ntaub ntawv). Thaum khiav raws li tus neeg siv tus qauv, cov ntaub ntawv autostart $HOME/.config/au-tostart/gnomehelper.desktop tau siv thiab hloov pauv rau .bashrc, thiab cov ntaub ntawv executable tau txais kev cawmdim li $HOME/.gvfsd/.profile/gvfsd -helper thiab $HOME/ .dbus/sessions/session-dbus. Ob leeg cov ntaub ntawv executable tau pib ib txhij, txhua tus uas saib xyuas qhov muaj ntawm lwm tus thiab rov qab los yog tias nws raug txiav.
Txhawm rau zais cov txiaj ntsig ntawm lawv cov dej num hauv lub tsev sab nraud, ntau qhov kev siv encryption algorithms tau siv, piv txwv li, AES tau siv los encrypt lawv cov peev txheej, thiab kev sib xyaw ntawm AES, XOR thiab ROTATE ua ke nrog compression siv ZLIB tau siv los nkaum txoj kev sib txuas lus. nrog tus tswj server.
Txhawm rau kom tau txais kev tswj hwm cov lus txib, cov malware tau hu rau 4 qhov chaw ntawm lub network chaw nres nkoj 443 (txoj kev sib txuas lus siv nws tus kheej raws tu qauv, tsis yog HTTPS thiab TLS). Cov thawj (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com thiab news.thaprior.net) tau sau npe hauv 2015 thiab tuav los ntawm Kyiv hosting tus kws kho mob Deltahost. 12 lub luag haujlwm tseem ceeb tau muab tso rau hauv lub qhov rooj, uas tso cai rau kev thauj khoom thiab ua tiav cov plugins nrog kev ua haujlwm siab, xa cov ntaub ntawv ntaus ntawv, cuam tshuam cov ntaub ntawv rhiab thiab tswj cov ntaub ntawv hauv zos.
Tau qhov twg los: opennet.ru