GitHub
Չարամիտ ծրագիրն ի վիճակի է նույնականացնել NetBeans նախագծի ֆայլերը և ավելացնել իր կոդը նախագծի ֆայլերին և կազմված JAR ֆայլերին: Աշխատանքային ալգորիթմը հանգում է նրան, որ գտնեք NetBeans գրացուցակը օգտվողի նախագծերով, թվարկեք այս գրացուցակի բոլոր նախագծերը, պատճենեք վնասակար սցենարը
Երբ վարակված JAR ֆայլը ներբեռնվեց և գործարկվեց մեկ այլ օգտատիրոջ կողմից, նրա համակարգում սկսվեց NetBeans-ի որոնման և վնասակար կոդի ներդրման հերթական շրջանը, որը համապատասխանում է համակարգչային վիրուսների ինքնատարածման գործող մոդելին: Ի լրումն ինքնատարածման ֆունկցիոնալության, վնասակար կոդը ներառում է նաև հետնախորշի գործառույթ՝ համակարգին հեռահար մուտք ապահովելու համար: Միջադեպի պահին հետևի դռների կառավարման (C&C) սերվերներն ակտիվ չեն եղել:
Ընդհանուր առմամբ, տուժած նախագծերն ուսումնասիրելիս հայտնաբերվել է վարակի 4 տարբերակ։ Ընտրանքներից մեկում՝ Linux-ում ետնադուռն ակտիվացնելու համար, ստեղծվել է «$HOME/.config/autostart/octo.desktop» autostart ֆայլը, իսկ Windows-ում առաջադրանքները գործարկվել են schtasks-ի միջոցով՝ այն գործարկելու համար։ Ստեղծված այլ ֆայլեր ներառում են.
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Հետևի դուռը կարող է օգտագործվել ծրագրավորողի կողմից մշակված ծածկագրին էջանիշեր ավելացնելու, սեփականության համակարգերի կոդի արտահոսքի, գաղտնի տվյալներ գողանալու և հաշիվները տիրանալու համար: GitHub-ի հետազոտողները չեն բացառում, որ վնասակար գործունեությունը չի սահմանափակվում միայն NetBeans-ով, և կարող են լինել Octopus Scanner-ի այլ տարբերակներ, որոնք ներդրված են կառուցման գործընթացում՝ հիմնված Make, MsBuild, Gradle և այլ համակարգերի վրա՝ իրենց տարածման համար:
Ազդեցության ենթարկված նախագծերի անունները չեն նշվում, բայց դրանք հեշտությամբ կարող են լինել
Source: opennet.ru