Ko te taiwhanga rangahau a 360 Netlab i whakaatu i te tohu o te malware hou mo Linux, ko RotaJakiro te ingoa kookiri me te whakaurunga o te kuaha o muri ka taea e koe te whakahaere i te punaha. Ka taea te whakauru i te malware e te hunga whakaeke i muri i te whakamahi i nga whakaraeraetanga kaore i pa ki roto i te punaha, ki te whakaaro ranei i nga kupuhipa ngoikore.
I kitea te kuaha o muri i te wa e tirotirohia ana nga waka whakapae mai i tetahi o nga punaha punaha, i tautuhia i te wa e tirotirohia ana te hanganga o te botnet i whakamahia mo te whakaeke DDoS. I mua i tenei, ka noho kore kitea a RotaJakiro mo nga tau e toru; ina koa, ko nga nganatanga tuatahi ki te matawai i nga konae me nga tohu MD5 e rite ana ki te malware kua kitea i roto i te ratonga VirusTotal i tuhia i te marama o Mei 2018.
Ko tetahi o nga ahuatanga o RotaJakiro ko te whakamahi i nga momo ahua rereke i te wa e rere ana hei kaiwhakamahi me te pakiaka kore. Hei huna i tona aroaro, i whakamahia e te backdoor nga ingoa tukanga systemd-daemon, session-dbus me te gvfsd-helper, na te mea i te maru o nga tohatoha Linux hou me nga momo mahi ratonga katoa, i te tuatahi o te titiro he mea tika, kaore hoki i puta te whakapae.
I te wa e whakahaerehia ana me nga mana pakiaka, i hangaia nga tuhinga /etc/init/systemd-agent.conf me /lib/systemd/system/sys-temd-agent.service hei whakahohe i te malware, a ko te konae whakahaere kino i noho hei / bin/systemd/systemd -daemon me te /usr/lib/systemd/systemd-daemon (i rua nga konae i taaruatia). I te wa e whakahaere ana hei kaiwhakamahi paerewa, ka whakamahia te konae autostart $HOME/.config/au-tostart/gnomehelper.desktop ka huri ki te .bashrc, ka tiakina te konae kawe hei $HOME/.gvfsd/.profile/gvfsd -kaiawhina me te $HOME/ .dbus/sessions/session-dbus. I whakarewahia nga konae whakahaere e rua i te wa kotahi, ka aro turukihia te aroaro o tetahi ka whakahokia mai mena ka mutu.
Hei huna i nga hua o a raatau mahi i roto i te kuaha o muri, he maha nga huringa whakamunatanga i whakamahia, hei tauira, i whakamahia te AES ki te whakamuna i a raatau rauemi, me te whakakotahitanga o AES, XOR me te ROTATE i te whakakotahitanga me te taapiri ma te whakamahi i te ZLIB i whakamahia hei huna i te hongere korero. me te tūmau mana.
Ki te whiwhi i nga whakahau mana, i whakapā atu te kino ki nga rohe e 4 ma te tauranga whatunga 443 (i whakamahia e te hongere whakawhitiwhiti tana ake kawa, ehara i te HTTPS me te TLS). Ko nga rohe (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com me news.thaprior.net) i rehitatia i te 2015 ka whakahaerehia e te kaiwhakarato manaaki a Kyiv Deltahost. 12 nga mahi taketake i whakauruhia ki roto i te kuaha o muri, i taea ai te uta me te whakahaere i nga monomai me nga mahi matatau, te tuku raraunga taputapu, te haukoti i nga raraunga tairongo me te whakahaere i nga konae rohe.
Source: opennet.ru