ProHoster > Блог > ozi ịntanetị > RotaJakiro bụ Linux malware ọhụrụ nke na-eme ka ọ bụrụ usoro nhazi

RotaJakiro bụ Linux malware ọhụrụ nke na-eme ka ọ bụrụ usoro nhazi

Ụlọ nyocha nyocha 360 Netlab kọrọ njirimara malware ọhụrụ maka Linux, nke akpọrọ RotaJakiro yana gụnyere mmejuputa ọnụ ụzọ azụ nke na-enye gị ohere ijikwa sistemụ ahụ. Ndị na-awakpo nwere ike itinye malware ahụ mgbe ha merichara adịghị ike na sistemụ ma ọ bụ chepụta okwuntughe adịghị ike.

Achọpụtara azụ azụ n'oge nyocha nke okporo ụzọ na-enyo enyo site na otu n'ime usoro usoro, nke a chọpụtara n'oge nyocha nke nhazi nke botnet ejiri mee ihe maka mwakpo DDoS. Tupu nke a, RotaJakiro ka achọpụtaghị ruo afọ atọ; ọkachasị, mbọ mbụ iji nyochaa faịlụ nwere hashes MD5 dabara na malware amapụtara na ọrụ VirusTotal bụ ụbọchị Mee 2018.

Otu n'ime njirimara nke RotaJakiro bụ iji usoro ihe mkpuchi dị iche iche mgbe ọ na-agba ọsọ dị ka onye ọrụ na mgbọrọgwụ na-enweghị ohere. Iji zoo ọnụnọ ya, azụ azụ na-eji usoro aha systemd-daemon, session-dbus na gvfsd-helper, bụ nke, nyere nhụsianya nke nkesa Linux nke oge a na ụdị ọrụ ọrụ niile, na nlele mbụ yiri ka ọ ziri ezi ma ghara ịkpata enyo.

Mgbe ejiri ikike mgbọrọgwụ na-agba ọsọ, e mepụtara scripts /etc/init/systemd-agent.conf na /lib/systemd/system/sys-temd-agent.service iji mee ka malware rụọ ọrụ, na faịlụ arụrụ arụ ọrụ n'onwe ya dị ka / bin/systemd/systemd -daemon na /usr/lib/systemd/systemd-daemon (a na-arụ ọrụ na faịlụ abụọ). Mgbe ọ na-agba ọsọ dị ka onye ọrụ ọkọlọtọ, a na-eji faịlụ autostart $ HOME / .config/au-tostart/gnomehelper.desktop mee ihe na mgbanwe na .bashrc, na faịlụ nke nwere ike ịchekwa dị ka $ HOME / .gvfsd/.profile/gvfsd. -onye inyeaka na $HOME/ .dbus/nnọkọ/nnọkọ-dbus. A na-ewepụta faịlụ abụọ a na-arụ ọrụ n'otu oge, nke ọ bụla n'ime ha nyochaa ọnụnọ nke nke ọzọ wee weghachi ya ma ọ bụrụ na ọ kwụsịrị.

Iji zoo nsonaazụ nke ọrụ ha n'ime ime ụlọ, a na-eji ọtụtụ algorithms ezoro ezo, dịka ọmụmaatụ, AES na-ezochi ihe onwunwe ha, yana ngwakọta nke AES, XOR na ROTATE na mgbakwunye na mkpakọ site na iji ZLIB iji zoo ọwa nkwukọrịta. ya na ihe nkesa njikwa.

Iji nweta iwu njikwa, malware kpọtụụrụ ngalaba 4 site na ọdụ ụgbọ mmiri 443 (ọwa nzikọrịta ozi na-eji protocol nke ya, ọ bụghị HTTPS na TLS). Edebanye aha ngalaba (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com na news.thaprior.net) na 2015 wee kwado ya site na onye na-eweta Bochum Kyiv Deltahost. Ejikọtara ọrụ 12 bụ isi n'ime ọnụ ụzọ azụ, nke na-enye ohere ịbuba na ime plugins nwere ọrụ dị elu, na-ebufe data ngwaọrụ, na-egbochi data dị nro na ijikwa faịlụ mpaghara.

isi: opennet.ru

Tinye a comment