GitHub
Зиянды бағдарлама NetBeans жоба файлдарын анықтай алады және оның кодын жоба файлдары мен құрастырылған JAR файлдарына қоса алады. Жұмыс алгоритмі пайдаланушының жобалары бар NetBeans каталогын табуға, осы каталогтағы барлық жобаларды санауға, зиянды сценарийді келесіге көшіруге дейін барады.
Вирус жұққан JAR файлын басқа пайдаланушы жүктеп алып, іске қосқанда, оның жүйесінде NetBeans іздеудің және зиянды кодты енгізудің тағы бір циклі басталды, ол өздігінен таралатын компьютерлік вирустардың операциялық үлгісіне сәйкес келеді. Өзін-өзі тарату функциясынан басқа, зиянды код жүйеге қашықтан қол жеткізуді қамтамасыз ететін бэкдор функциясын да қамтиды. Оқиға кезінде бэкдорды басқару (C&C) серверлері белсенді емес еді.
Барлығы зардап шеккен жобаларды зерттеу кезінде инфекцияның 4 нұсқасы анықталды. Опциялардың бірінде Linux жүйесінде бэкдорды белсендіру үшін «$HOME/.config/autostart/octo.desktop» автобастау файлы жасалды, ал Windows жүйесінде оны іске қосу үшін тапсырмалар schtasks арқылы іске қосылды. Басқа жасалған файлдар мыналарды қамтиды:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Бэкдорды әзірлеуші әзірлеген кодқа бетбелгілер қосу, меншікті жүйелердің кодын шығару, құпия деректерді ұрлау және есептік жазбаларды алу үшін пайдалануға болады. GitHub зерттеушілері зиянды әрекет тек NetBeans-пен шектелмейтінін және өздерін тарату үшін Make, MsBuild, Gradle және басқа жүйелер негізінде құрастыру процесіне енгізілген Octopus сканерінің басқа нұсқалары болуы мүмкін екенін жоққа шығармайды.
Зардап шеккен жобалардың аттары аталмаған, бірақ олар оңай болуы мүмкін
Ақпарат көзі: opennet.ru