ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > RotaJakiro เป€เบ›เบฑเบ™ Malware Linux เปƒเปเปˆเบ—เบตเปˆเบ›เบญเบกเบ•เบปเบงเป€เบ›เบฑเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบฅเบฐเบšเบปเบš

RotaJakiro เป€เบ›เบฑเบ™ Malware Linux เปƒเปเปˆเบ—เบตเปˆเบ›เบญเบกเบ•เบปเบงเป€เบ›เบฑเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบฅเบฐเบšเบปเบš

เบซเป‰เบญเบ‡เบ—เบปเบ”เบฅเบญเบ‡เบเบฒเบ™เบ„เบปเป‰เบ™เบ„เบงเป‰เบฒ 360 Netlab เบฅเบฒเบเบ‡เบฒเบ™เบเบฒเบ™เบเปเบฒเบ™เบปเบ” malware เปƒเบซเบกเปˆเบชเปเบฒเบฅเบฑเบš Linux, codenamed RotaJakiro เปเบฅเบฐเบฅเบงเบกเบ—เบฑเบ‡เบเบฒเบ™เบ›เบฐเบ•เบดเบšเบฑเบ”เบ‚เบญเบ‡ backdoor เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบ„เบงเบšเบ„เบธเบกเบฅเบฐเบšเบปเบš. เบกเบฑเบฅเปเบงเบชเบฒเบกเบฒเบ”เบ–เบทเบเบ•เบดเบ”เบ•เบฑเป‰เบ‡เป‚เบ”เบเบœเบนเป‰เป‚เบˆเบกเบ•เบต เบซเบผเบฑเบ‡เบˆเบฒเบเปƒเบŠเป‰เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบšเปเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เปเบเป‰เป„เบ‚เปƒเบ™เบฅเบฐเบšเบปเบš เบซเบผเบทเบ„เบฒเบ”เป€เบ”เบปเบฒเบฅเบฐเบซเบฑเบ”เบœเปˆเบฒเบ™เบ—เบตเปˆเบญเปˆเบญเบ™เปเบญ.

backdoor เป„เบ”เป‰เบ–เบทเบเบ„เบปเป‰เบ™เบžเบปเบšเปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบเบฒเบ™เบˆเบฒเบฅเบฐเบˆเบญเบ™เบ—เบตเปˆเบซเบ™เป‰เบฒเบชเบปเบ‡เป„เบชเบˆเบฒเบเบซเบ™เบถเปˆเบ‡เปƒเบ™เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบฅเบฐเบšเบปเบš, เบ–เบทเบเบเปเบฒเบ™เบปเบ”เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเป‚เบ„เบ‡เบชเป‰เบฒเบ‡เบ‚เบญเบ‡ botnet เบ—เบตเปˆเปƒเบŠเป‰เบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เป‚เบˆเบกเบ•เบต DDoS. เบเปˆเบญเบ™เปœเป‰เบฒเบ™เบตเป‰, RotaJakiro เบเบฑเบ‡เบ„เบปเบ‡เบšเปเปˆเบ–เบทเบเบเบงเบ”เบžเบปเบšเป€เบ›เบฑเบ™เป€เบงเบฅเบฒเบชเบฒเบกเบ›เบต; เป‚เบ”เบเบชเบฐเป€เบžเบฒเบฐ, เบ„เบงเบฒเบกเบžเบฐเบเบฒเบเบฒเบกเบ„เบฑเป‰เบ‡เบ—เบณเบญเบดเบ”เบ—เบตเปˆเบˆเบฐเบชเบฐเปเบเบ™เป„เบŸเบฅเปŒเบ”เป‰เบงเบ MD5 hashes เบ—เบตเปˆเบเบปเบ‡เบเบฑเบš malware เบ—เบตเปˆเบฅเบฐเบšเบธเป„เบงเป‰เปƒเบ™เบšเปเบฅเบดเบเบฒเบ™ VirusTotal เปเบกเปˆเบ™เบฅเบปเบ‡เบงเบฑเบ™เบ—เบตเป€เบ”เบทเบญเบ™เบžเบถเบ”เบชเบฐเบžเบฒ 2018.

เบซเบ™เบถเปˆเบ‡เปƒเบ™เบ„เบธเบ™เบ™เบฐเบชเบปเบกเบšเบฑเบ”เบ‚เบญเบ‡ RotaJakiro เปเบกเปˆเบ™เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เป€เบ•เบฑเบเบ™เบดเบเบเบฒเบ™ camouflage เบ—เบตเปˆเปเบ•เบเบ•เปˆเบฒเบ‡เบเบฑเบ™เปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเปเบฅเปˆเบ™เป€เบ›เบฑเบ™เบœเบนเป‰เปƒเบŠเป‰เบ—เบตเปˆเบšเปเปˆเบกเบตเบชเบดเบ”เบ—เบดเบžเบดเป€เบชเบ”เปเบฅเบฐเบฎเบฒเบ. เป€เบžเบทเปˆเบญเป€เบŠเบทเปˆเบญเบ‡เบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบกเบฑเบ™, เบ›เบฐเบ•เบนเบซเบฅเบฑเบ‡เป„เบ”เป‰เปƒเบŠเป‰เบŠเบทเปˆเบ‚เบฐเบšเบงเบ™เบเบฒเบ™ systemd-daemon, session-dbus เปเบฅเบฐ gvfsd-helper, เป€เบŠเบดเปˆเบ‡เป€เบฎเบฑเบ”เปƒเบซเป‰เบ„เบงเบฒเบกเบงเบธเปˆเบ™เบงเบฒเบเบ‚เบญเบ‡เบเบฒเบ™เปเบˆเบเบขเบฒเบ Linux เบ—เบตเปˆเบ—เบฑเบ™เบชเบฐเป„เบซเบกเบเบฑเบšเบ‚เบฐเบšเบงเบ™เบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบ—เบธเบเบ›เบฐเป€เบžเบ”, เบขเบนเปˆ glance เบ—เปเบฒเบญเบดเบ”เป€เบšเบดเปˆเบ‡เบ„เบทเบงเปˆเบฒเบ–เบทเบเบ•เป‰เบญเบ‡เปเบฅเบฐเบšเปเปˆเป€เบฎเบฑเบ”เปƒเบซเป‰เป€เบเบตเบ”เบ„เบงเบฒเบกเบชเบปเบ‡เปƒเบช.

เป€เบกเบทเปˆเบญเบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เบ”เป‰เบงเบเบชเบดเบ”เบ—เบดเบ‚เบญเบ‡เบฎเบฒเบ, scripts /etc/init/systemd-agent.conf เปเบฅเบฐ /lib/systemd/system/sys-temd-agent.service เป„เบ”เป‰เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบทเป‰เบ™เป€เบžเบทเปˆเบญเป€เบ›เบตเบ”เปƒเบŠเป‰ malware, เปเบฅเบฐเป„เบŸเบฅเปŒเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ‚เบญเบ‡เบกเบฑเบ™เป€เบญเบ‡เบ•เบฑเป‰เบ‡เบขเบนเปˆเป€เบ›เบฑเบ™ / bin/systemd/systemd -daemon เปเบฅเบฐ /usr/lib/systemd/systemd-daemon (เบเบฒเบ™เบ—เปเบฒเบ‡เบฒเบ™เป„เบ”เป‰เบ–เบทเบเบŠเป‰เปเบฒเบเบฑเบ™เปƒเบ™เบชเบญเบ‡เป„เบŸเบฅเปŒ). เป€เบกเบทเปˆเบญเปเบฅเปˆเบ™เป€เบ›เบฑเบ™เบœเบนเป‰เปƒเบŠเป‰เบกเบฒเบ”เบ•เบฐเบ–เบฒเบ™, เป„เบŸเบฅเปŒ autostart $HOME/.config/au-tostart/gnomehelper.desktop เบ–เบทเบเปƒเบŠเป‰ เปเบฅเบฐเบ›เปˆเบฝเบ™เป€เบ›เบฑเบ™ .bashrc, เปเบฅเบฐเป„เบŸเบฅเปŒเบ—เบตเปˆเบชเบฒเบกเบฒเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰เบ–เบทเบเบšเบฑเบ™เบ—เบถเบเป€เบ›เบฑเบ™ $HOME/.gvfsd/.profile/gvfsd. -helper เปเบฅเบฐ $HOME/ .dbus/sessions/session-dbus. เบ—เบฑเบ‡เบชเบญเบ‡เป„เบŸเบฅเปŒเบ—เบตเปˆเบชเบฒเบกเบฒเบ”เบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰เป„เบ”เป‰เบ–เบทเบเป€เบ›เบตเบ”เบ•เบปเบงเบžเป‰เบญเบกเป†เบเบฑเบ™, เปเบ•เปˆเบฅเบฐเบ„เบปเบ™เบ•เบดเบ”เบ•เบฒเบกเบเบฒเบ™เบ›เบฐเบเบปเบ”เบ•เบปเบงเบ‚เบญเบ‡เบ„เบปเบ™เบญเบทเปˆเบ™เปเบฅเบฐเบŸเบทเป‰เบ™เบŸเบนเบกเบฑเบ™เบ–เป‰เบฒเบกเบฑเบ™เบขเบธเบ”เป€เบŠเบปเบฒ.

เป€เบžเบทเปˆเบญเป€เบŠเบทเปˆเบญเบ‡เบœเบปเบ™เป„เบ”เป‰เบฎเบฑเบšเบ‚เบญเบ‡เบเบดเบ”เบˆเบฐเบเปเบฒเบ‚เบญเบ‡เบžเบงเบเป€เบ‚เบปเบฒเปƒเบ™ backdoor, เบชเบนเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เบซเบผเบฒเบเบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰, เบชเปเบฒเบฅเบฑเบšเบ•เบปเบงเบขเปˆเบฒเบ‡, AES เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบžเบทเปˆเบญเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เบŠเบฑเบšเบžเบฐเบเบฒเบเบญเบ™เบ‚เบญเบ‡เป€เบ‚เบปเบฒเป€เบˆเบปเป‰เบฒ, เปเบฅเบฐเบเบฒเบ™เบ›เบฐเบชเบปเบกเบ›เบฐเบชเบฒเบ™เบ‚เบญเบ‡ AES, XOR เปเบฅเบฐ ROTATE เบ›เบฐเบชเบปเบกเบ›เบฐเบชเบฒเบ™เบเบฑเบšเบเบฒเบ™เบšเบตเบšเบญเบฑเบ”เป‚เบ”เบเปƒเบŠเป‰ ZLIB เบ–เบทเบเบ™เปเบฒเปƒเบŠเป‰เป€เบžเบทเปˆเบญเบŠเปˆเบญเบ™เบŠเปˆเบญเบ‡เบ—เบฒเบ‡เบเบฒเบ™เบชเบทเปˆเบชเบฒเบ™. เบเบฑเบšเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบเบเบฒเบ™เบ„เบงเบšเบ„เบธเบก.

เป€เบžเบทเปˆเบญเปƒเบซเป‰เป„เบ”เป‰เบฎเบฑเบšเบ„เปเบฒเบชเบฑเปˆเบ‡เบ„เบงเบšเบ„เบธเบก, malware เป„เบ”เป‰เบ•เบดเบ”เบ•เปเปˆ 4 เป‚เบ”เป€เบกเบ™เบœเปˆเบฒเบ™เบžเบญเบ”เป€เบ„เบทเบญเบ‚เปˆเบฒเบ 443 (เบŠเปˆเบญเบ‡เบ—เบฒเบ‡เบเบฒเบ™เบชเบทเปˆเบชเบฒเบ™เป„เบ”เป‰เปƒเบŠเป‰เป‚เบ›เป‚เบ•เบ„เบญเบ™เบ‚เบญเบ‡เบ•เบปเบ™เป€เบญเบ‡, เบšเปเปˆเปเบกเปˆเบ™ HTTPS เปเบฅเบฐ TLS). เป‚เบ”เป€เบกเบ™ (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com เปเบฅเบฐ news.thaprior.net) เป„เบ”เป‰เบ–เบทเบเบฅเบปเบ‡เบ—เบฐเบšเบฝเบ™เปƒเบ™เบ›เบต 2015 เปเบฅเบฐเป€เบ›เบฑเบ™เป€เบˆเบปเป‰เบฒเบžเบฒเบšเบˆเบฑเบ”เป‚เบ”เบ Kyiv hosting provider Deltahost. 12 เบซเบ™เป‰เบฒเบ—เบตเปˆเบžเบทเป‰เบ™เบ–เบฒเบ™เป„เบ”เป‰เบ–เบทเบเบฅเบงเบกเป€เบ‚เบปเป‰เบฒเบเบฑเบš backdoor, เป€เบŠเบดเปˆเบ‡เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เป‚เบซเบฅเบ”เปเบฅเบฐเบ›เบฐเบ•เบดเบšเบฑเบ” plugins เบ—เบตเปˆเบกเบตเบซเบ™เป‰เบฒเบ—เบตเปˆเบเป‰เบฒเบงเบซเบ™เป‰เบฒ, เบเบฒเบ™เบ–เปˆเบฒเบเบ—เบญเบ”เบ‚เปเป‰เบกเบนเบ™เบญเบธเบ›เบฐเบเบญเบ™, เบเบฒเบ™เบ‚เบฑเบ”เบ‚เบงเบฒเบ‡เบ‚เปเป‰เบกเบนเบ™เบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบญเปˆเบญเบ™เป„เบซเบงเปเบฅเบฐเบเบฒเบ™เบ„เบธเป‰เบกเบ„เบญเบ‡เป„เบŸเบฅเปŒเบ—เป‰เบญเบ‡เบ–เบดเปˆเบ™.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™