Investigationis laboratorium 360 Netlab relatum est identificatio novae malware pro Linux, RotaJakiro codeamente et inter exsequenda posticium quae systema regere permittit. Malware ab oppugnatoribus institui potuit postquam vulnerabilitates inaequatas in systemate vel coniectura debiles passwords opprimunt.
Posticum in analysi negotiationis suspectae inventa est ab uno e processibus systematis, quae in analysi structurae botnet adhibitae ad impetum DDoS adhibitae sunt. Ante hoc RotaJakiro invisa per tres annos mansit, imprimis primos conatus ad scandendum cum MD5 hashes adaptare malware notae in servitio VirusTotal datae Maio MMXVIII.
Una liniamenta RotaJakiro est usus technicae camouflagiae diversarum cum utentis et radicis inexpugnabilis currit. Ad suam praesentiam occultandam, posticum processus nomina systemd-daemon, sessionis et gvfsd-adiutor usus est, quae, datis clutter distributionibus hodiernis Linux cum omnibus processibus servitii, prima specie legitima videbantur et suspicionem non excitaverunt.
Cum iura radicibus currunt, scripta /etc/init/systemd-agent.conf et /lib/systemd/systemd/sys-temd-agent. servitia ad malware activate creata sunt, et ipsa malitiosa fasciculus exsecutabilis quasi / locatus est. bin/systemd/systemd -daemon et /usr/lib/systemd/systemd-daemon (functionality was duplicated in two files). Cum ut vexillum utentis currentem, autostart fasciculus $HOME/.config/au-tostart/gnomehelper.desktop adhibitus et mutationes factae sunt ad .bashrc, et fasciculus exsecutabilis servatus est sicut $HOME/.gvfsd/.profile/gvfsd -adiutor et $HOME/ .dbus/sessionibus/sessionis-dbus. Utraeque tabulae exsecutabiles eodem tempore deductae sunt, quarum singulae praesentiam alterius monitorem reddebant et, si terminaretur, restituit.
Ad exitum actionum suarum in postico celare, varia encryption algorithmorum adhibita sunt, exempli gratia, AES ad suas facultates encryptas adhibita, et coniunctio AES, XOR et ROTATE coniunctio cum compressione utens ZLIB ad alveum communicationis occultandum adhibitum est cum potestate servo.
Ad imperium imperium recipiendum, malware 4 ditiones tanguntur per portum retis 443 (canalis communicatio proprio protocollo usus est, non HTTPS et TLS). Ditiones (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com et news.thaprior.net) anno 2015 descripti sunt et a Kyiv provisor Deltahost hosted. XII functiones fundamentales in posticum integratae sunt, quae permiserunt onerandas et exsequendas plugins cum functionality provectas, notitias technicas tradendas, notitias sensitivas intercipientes et documenta localia administrandi.
Source: opennet.ru