GitHub
Malware dikare pelên projeya NetBeans nas bike û koda xwe li pelên projeyê û pelên JAR ên berhevkirî zêde bike. Algorîtmaya xebatê bi dîtina pelrêça NetBeans bi projeyên bikarhêner re, hejmartina hemî projeyên di vê pelrêçayê de, kopîkirina skrîpta xerab li
Dema ku pelê JAR-a vegirtî ji hêla bikarhênerek din ve hate dakêşandin û destpêkirin, çerxek din a lêgerîna NetBeans û danasîna koda xirab li ser pergala wî dest pê kir, ku bi modela xebitandinê ya vîrusên komputerê yên xwe-propagandî re têkildar e. Ji bilî fonksiyona xwe-belavkirinê, koda xirab di heman demê de fonksiyona paşverû jî vedihewîne da ku gihandina dûr a pergalê peyda bike. Di dema bûyerê de, serverên kontrola paşde (C&C) ne çalak bûn.
Bi tevahî, dema lêkolîna projeyên bandorbûyî, 4 celebên enfeksiyonê hatin nas kirin. Di yek ji vebijarkan de, ji bo çalakkirina paşîn li Linux-ê, pelek destpêka otomatîkî "$HOME/.config/autostart/octo.desktop" hate afirandin, û di Windows-ê de, ji bo destpêkirina wê peywir bi riya schtasks hatin destpêkirin. Pelên din ên hatine afirandin ev in:
- $HOME/.herêmî/parvekirin/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $MAL/Pirtûkxane/LaunchAgents/AutoUpdater.dat
- $MAL/Pirtûkxane/LaunchAgents/AutoUpdater.plist
- $ HOME / Pirtûkxane / LaunchAgents / SoftwareSync.plist
- $ HOME / Pirtûkxane / LaunchAgents / Main.class
Derî paşde dikare were bikar anîn da ku nîşangiran li koda ku ji hêla pêşdebir ve hatî pêşve xistin zêde bike, koda pergalên xwedan derxe, daneyên nepenî dizîne û hesaban bigire. Lekolînwanên ji GitHub rê nadin ku çalakiya xirab tenê bi NetBeans re sînordar nebe û dibe ku guhertoyên din ên Octopus Scanner hebin ku di pêvajoya çêkirinê de li ser bingeha Make, MsBuild, Gradle û pergalên din têne bicîh kirin ku xwe belav bikin.
Navên projeyên bandordar nehatine gotin, lê ew dikarin bi hêsanî bibin
Source: opennet.ru