GitHub
Хортой програм нь NetBeans төслийн файлуудыг таних чадвартай бөгөөд төслийн файлууд болон хөрвүүлсэн JAR файлууд руу кодоо нэмэх боломжтой. Ажлын алгоритм нь хэрэглэгчийн төслүүдтэй NetBeans лавлахыг хайж олох, энэ лавлах дахь бүх төслүүдийг тоолох, хортой скриптийг хуулах зэрэгт ордог.
Халдвар авсан JAR файлыг өөр хэрэглэгч татан авч ажиллуулсны дараа түүний системд NetBeans хайлт, хортой кодыг нэвтрүүлэх өөр нэг мөчлөг эхэлсэн бөгөөд энэ нь өөрөө тархдаг компьютерийн вирусын үйлдлийн загвартай тохирч байна. Хортой код нь өөрөө тархах функцээс гадна системд алсаас нэвтрэх боломжийг олгодог арын хаалганы функцийг агуулдаг. Хэрэг гарах үед арын хаалганы удирдлага (C&C) серверүүд идэвхжээгүй байсан.
Нөлөөлөлд өртсөн төслүүдийг судлахдаа халдварын 4 хувилбарыг тодорхойлсон. Линукс дээр арын хаалгыг идэвхжүүлэхийн тулд "$HOME/.config/autostart/octo.desktop" файлыг үүсгэсэн бөгөөд Windows дээр schtasks-ээр дамжуулан даалгавруудыг эхлүүлсэн. Бусад үүсгэсэн файлууд нь:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Арын хаалга нь хөгжүүлэгчийн боловсруулсан кодонд хавчуурга нэмэх, өмчлөлийн системийн кодыг задруулах, нууц мэдээллийг хулгайлах, дансыг авах зэрэгт ашиглаж болно. GitHub-ийн судлаачид хорлонтой үйл ажиллагаа нь зөвхөн NetBeans-ээр хязгаарлагдахгүй бөгөөд Make, MsBuild, Gradle болон бусад системүүд дээр тулгуурлан бүтээх процесст суулгагдсан Наймаалжны сканнерын өөр хувилбарууд байж болохыг үгүйсгэхгүй.
Нөлөөлөлд өртсөн төслүүдийн нэрийг дурдаагүй ч амархан байж болно
Эх сурвалж: opennet.ru