ProHoster > بلاګ > انټرنیټ خبرونه > روټا جاکیرو یو نوی لینکس مالویر دی چې د سیسټم شوي پروسې په توګه ماسک کوي

روټا جاکیرو یو نوی لینکس مالویر دی چې د سیسټم شوي پروسې په توګه ماسک کوي

د څیړنې لابراتوار 360 Netlab د لینکس لپاره د نوي مالویر پیژندلو راپور ورکړی، کوډ نوم شوی RotaJakiro او په شمول د شاته دروازې پلي کول چې تاسو ته اجازه درکوي سیسټم کنټرول کړئ. مالویر کیدای شي د برید کونکو لخوا په سیسټم کې د نه پیچلي زیانونو څخه ګټه پورته کولو یا د ضعیف پاسورډونو اټکل کولو وروسته نصب شوی وي.

شاته دروازه د یو سیسټم پروسې څخه د مشکوک ترافیک تحلیل په جریان کې وموندل شوه ، د DDoS برید لپاره کارول شوي د بوټینیټ جوړښت تحلیل په جریان کې پیژندل شوی. مخکې له دې، RotaJakiro د دریو کلونو لپاره ناڅرګند پاتې و؛ په ځانګړې توګه، د MD5 هشونو سره د فایلونو سکین کولو لومړنۍ هڅې چې د ویروس ټوټال خدمت کې د پیژندل شوي مالویر سره سمون لري د می 2018 نیټه وه.

د روټا جاکیرو یو له ځانګړتیاو څخه د مختلف کیموفلاج تخنیکونو کارول دي کله چې د بې ګټې کارونکي او روټ په توګه چلیږي. د خپل شتون د پټولو لپاره، شاته دروازه د پروسې نومونه systemd-daemon، session-dbus او gvfsd-helper کارولي، کوم چې د هر ډول خدماتو پروسو سره د عصري لینکس توزیعونو ګډوډۍ ته په پام سره، په لومړي نظر کې قانوني ښکاري او شک یې نه رامینځته کړی.

کله چې د روټ حقونو سره چلول کیږي، سکریپټونه /etc/init/systemd-agent.conf او /lib/systemd/system/sys-temd-agent.service د مالویر د فعالولو لپاره رامینځته شوي، او د ناوړه اجرا وړ فایل پخپله موقعیت کې و. bin/systemd/systemd-daemon او /usr/lib/systemd/systemd-daemon (فعالیت په دوو فایلونو کې نقل شوی). کله چې د یو معیاري کارونکي په توګه کار کول، د آټوسټارټ فایل $HOME/.config/au-tostart/gnomehelper.desktop کارول شوی و او په .bashrc کې بدلونونه راوستل شوي، او د اجرا وړ فایل د $HOME/.gvfsd/.profile/gvfsd په توګه خوندي شوی و. -مدیر او $HOME/ .dbus/sessions/session-dbus. دواړه د اجرا وړ فایلونه په ورته وخت کې پیل شوي، چې هر یو یې د بل شتون څارنه کوي او د پای ته رسیدو په صورت کې یې بیرته راګرځوي.

په شاته دروازه کې د دوی د فعالیتونو پایلو پټولو لپاره، د کوډ کولو څو الګوریتمونه کارول شوي، د بیلګې په توګه، AES د دوی سرچینې کوډ کولو لپاره کارول شوي، او د AES، XOR او ROTATE ترکیب د ZLIB په کارولو سره د کمپریشن سره د ارتباطي چینل پټولو لپاره کارول شوی و. د کنټرول سرور سره.

د کنټرول امرونو ترلاسه کولو لپاره، مالویر د شبکې پورټ 4 له لارې د 443 ډومینونو سره اړیکه ونیوله (د مخابراتو چینل خپل پروتوکول کارولی، نه HTTPS او TLS). ډومینونه (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com او news.thaprior.net) په 2015 کې ثبت شوي او د کییف کوربه توب چمتو کونکي Deltahost لخوا کوربه توب شوي. 12 بنسټیز فعالیتونه په شاته دروازه کې مدغم شوي، کوم چې د پرمختللي فعالیت سره د پلگ انونو بارولو او اجرا کولو، د وسیلو ډیټا لیږدولو، د حساسو معلوماتو مداخله او د محلي فایلونو اداره کولو اجازه ورکړه.

سرچینه: opennet.ru

Add a comment