ГитХуб
Злонамерни софтвер је у стању да идентификује НетБеанс пројектне датотеке и дода свој код у пројектне датотеке и компајлиране ЈАР датотеке. Алгоритам рада се своди на проналажење НетБеанс директоријума са пројектима корисника, набрајање свих пројеката у овом директоријуму, копирање злонамерне скрипте у
Када је заражену ЈАР датотеку преузео и покренуо други корисник, почео је још један циклус тражења НетБеанс-а и увођења злонамерног кода на његов систем, што одговара оперативном моделу рачунарских вируса који се сами шире. Поред функционалности самопропагације, злонамерни код укључује и бацкдоор функционалност за обезбеђивање даљинског приступа систему. У време инцидента, сервери за контролу позадинских врата (Ц&Ц) нису били активни.
Укупно, приликом проучавања погођених пројеката, идентификоване су 4 варијанте инфекције. У једној од опција, за активирање бацкдоор-а у Линуксу, креирана је аутостарт датотека „$ХОМЕ/.цонфиг/аутостарт/оцто.десктоп“, ау Виндовс-у су покренути задаци преко сцхтаскс-а за њено покретање. Друге креиране датотеке укључују:
- $ХОМЕ/.лоцал/схаре/ббауто
- $ХОМЕ/.цонфиг/аутостарт/ноне.десктоп
- $ХОМЕ/.цонфиг/аутостарт/.десктоп
- $ХОМЕ/.лоцал/схаре/Маин.цласс
- $ХОМЕ/Либрари/ЛаунцхАгентс/АутоУпдатер.дат
- $ХОМЕ/Либрари/ЛаунцхАгентс/АутоУпдатер.плист
- $ХОМЕ/Либрари/ЛаунцхАгентс/СофтвареСинц.плист
- $ХОМЕ/Либрари/ЛаунцхАгентс/Маин.цласс
Бацкдоор би се могао користити за додавање обележивача коду који је развио програмер, цурење кода власничких система, крађу поверљивих података и преузимање налога. Истраживачи са ГитХуб-а не искључују да злонамерна активност није ограничена на НетБеанс и да могу постојати друге варијанте Оцтопус Сцаннер-а које су уграђене у процес прављења засноване на Маке, МсБуилд, Градле и другим системима да би се сами ширили.
Имена погођених пројеката се не помињу, али лако могу бити
Извор: опеннет.ру