Su'esu'e falesuesue 360 Netlab lipotia le faailoagofieina o malware fou mo Linux, codenamed RotaJakiro ma aofia ai le faatinoga o se backdoor e mafai ai ona e pulea le faiga. O le malware na mafai ona faʻapipiʻiina e le au osofaʻi pe a uma ona faʻaogaina faʻafitauli e leʻi faʻaogaina i totonu o le polokalama poʻo le mateina o upu vaivai.
O le pito i tua na maua i le taimi o suʻesuʻega o fefaʻatauaʻiga masalomia mai se tasi o faiga faʻavae, faʻamaonia i le taimi o suʻesuʻega o le fausaga o le botnet na faʻaaogaina mo le osofaʻiga DDoS. Aʻo leʻi oʻo i lenei mea, na tumau pea RotaJakiro e leʻi iloa mo le tolu tausaga; aemaise lava, o taumafaiga muamua e suʻesuʻe faila ma MD5 hashes e fetaui ma faʻamaʻi faʻamaʻi i totonu o le VirusTotal auaunaga na faia i le aso Me 2018.
O se tasi o foliga o RotaJakiro o le faʻaaogaina lea o auala faʻapipiʻi eseese pe a tamoʻe e avea o se tagata e le faʻaaogaina ma aʻa. Ina ia natia lona i ai, o le pito i tua na faʻaaogaina ai le igoa o le systemd-daemon, session-dbus ma le gvfsd-fesoasoani, lea, ona o le faʻalavelaveina o faʻasalalauga faʻaonaponei o Linux ma ituaiga uma o auaunaga, i le tepa muamua na foliga mai e saʻo ma e leʻi faʻaosofia ai masalosaloga.
Pe a tamoʻe ma aia tatau, o le scripts /etc/init/systemd-agent.conf ma /lib/systemd/system/sys-temd-agent.service na faia e faʻagaoioia ai le malware, ma o le faila faila leaga lava ia na tuʻuina o / bin/systemd/systemd -daemon ma /usr/lib/systemd/systemd-daemon (faiga faʻatusa na faia i faila e lua). A o tamo'e e pei o se tagata fa'aoga masani, sa fa'aogaina le faila autostart $HOME/.config/au-tostart/gnomehelper.desktop ma faia suiga i le .bashrc, ma fa'asaoina le faila fa'atino e $HOME/.gvfsd/.profile/gvfsd -fesoasoani ma le $ HOME/ .dbus/sessions/session-dbus. O faila uma e mafai ona faʻatinoina na faʻalauiloaina i le taimi e tasi, e mataʻituina uma le i ai o le isi ma toe faʻafoʻi pe a faʻamutaina.
Ina ia natia taunuuga oa latou gaioiga i le pito i tua, na faʻaogaina ai le tele o faʻamatalaga algorithms, mo se faʻataʻitaʻiga, na faʻaogaina le AES e faʻapipiʻi ai a latou punaoa, ma o le tuʻufaʻatasiga o AES, XOR ma ROTATE faʻatasi ma le faʻamalosi e faʻaaoga ai le ZLIB na faʻaaogaina e nana ai le auala fesoʻotaʻiga. fa'atasi ai ma le 'au'aunaga fa'atonu.
Ina ia maua faʻatonuga faʻatonutonu, na faʻafesoʻotaʻi e le malware 4 domains e ala i fesoʻotaʻiga port 443 (o le auala fesoʻotaʻiga na faʻaogaina lana lava faʻasalalauga, ae le o le HTTPS ma le TLS). O domains (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ma news.thaprior.net) na resitalaina i le 2015 ma talimalo e le Kyiv hosting provider Deltahost. 12 galuega faʻavae na tuʻufaʻatasia i totonu o le pito i tua, lea na faʻatagaina ai le utaina ma le faʻaogaina o plugini faʻatasi ai ma galuega faʻapitoa, faʻasalalau faʻamatalaga masini, faʻalavelave faʻamatalaga maaleale ma le puleaina o faila i le lotoifale.
puna: opennet.ru