Новый Linux-троян заражает маршрутизаторы
«Доктор Веб» обнародовал результаты анализа трояна Linux.PNScan.1, с его помощью злоумышленники взламывают системы управления реляционными базами данных PHPMyAdmin, а также могут подбирать логины и пароли для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.
Эта троянская программа может инфицировать маршрутизаторы с архитектурой ARM, MIPS и PowerPC, которые работают под управлением ОС Linux. Распространяется троян по особой схеме: есть мнение, что изначально его устанавливали на атакуемые роутеры самим писатели вируса, например, с использованием уязвимости shellshock. Его сценарий запускают с нужными параметрами, а после загружают и инсталлируют на атакованные маршрутизаторы трояны семейства Linux.BackDoor.Tsunami, которые уже распространяются с помощью самого Linux.PNScan.1. У Linux.PNScan.1 есть одна цель: взлом роутера и загрузка на него вредоносного скрипта, который устанавливает на маршрутизатор бэкдоры.
На сервере, который используют киберпреступники, были обнаружены и другие вредоносные ПО. Например, троян Trojan.Mbot, который предназначен для взлома сайтов, работающих из-под CMS WordPress, Joomla, а также использующих ПО для организации интернет-магазина osCommerce. Другой пример: Perl.Ircbot.13 его назначение - поиск уязвимостей на сайтах, работающих под CMS WordPress, Joomla, e107, WHMCS, а также пользующихся Zen Cart и osCommerce. Еще одной находкой на сервере стало ПО для массовой рассылки спама Perl.Spambot.2, которую используют злоумышленники для отправки фишинговых сообщений якобы от имени международной платёжной системы VISA.
Всего вирусным экспертам компании «Доктор Веб» известно о 1439 случаях заражения устройств с использованием перечисленных выше программ.