PER UTENTI

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Ricerca
Ricerca

Supporto
Supporto 24/7 | Regole per contattare

Scrivi

Una richiesta attraverso il modulo

Chiama

+7 (495) 789-45-86

Forum

Richieste

Crea nuova richiesta

Chiama

+7 (495) 789-45-86

Profile

IT

RU CN DE EN ES FR IT JP KZ UZ PL BY
Chiudi
News

Notizie per argomento

Notizie sui virus
"Mondo antivirus!"
Ticker
Ufficio stampa

Torna alla lista delle notizie

Doctor Web ha esaminato due trojan per Linux

5 giugno 2017

Gli analisti dei virus Doctor Web hanno esaminato due programmi malevoli per SO Linux. Uno di loro installa sul dispositivo infetto un'applicazione per l'estrazione delle criptovalute, l'altro avvia un server proxy.

Il primo dei trojan esaminati dagli specialisti Doctor Web è stato aggiunto ai database dei virus Dr.Web sotto il nome di Linux.MulDrop.14. Questo programma malevolo attacca esclusivamente i minicomputer Rasberry Pi. La diffusione di Linux.MulDrop.14 è iniziata nella seconda metà di maggio. Il trojan è uno script, nel cui corpo si conserva in forma compressa e cifrata un'applicazione di mining che è progettata per l'estrazione delle criptovalute. Linux.MulDrop.14 cambia la password sul dispositivo infetto, decomprime e avvia l'applicazione miner dopodiché in un ciclo infinito inizia a cercare nell'ambiente di rete nodi con la porta 22 aperta. Dopo essersi connesso attraverso il protocollo SSH, il trojan tenta di lanciare sui nodi una sua copia.

L'altro trojan è stato chiamato Linux.ProxyM. Attacchi con il suo utilizzo venivano registrati già da febbraio 2017, ma hanno raggiunto un picco nella seconda metà di maggio. Di seguito è presentato un grafico che mostra il numero, registrato da Doctor Web, di attacchi del trojan Linux.ProxyM.

graph #drweb

Una significativa parte degli indirizzi IP da cui vengono effettuati gli attacchi si trova sul territorio di Russia. Alla seconda posizione è Cina, alla terza Taiwan. La distribuzione delle fonti degli attacchi tramite Linux.ProxyM in termini di geografia è mostrata nella seguente figura:

graph #drweb

Il trojan utilizza uno specifico insieme di metodi per rilevare gli honey pot (dall'inglese «vasetto di miele») — appositi server-esca utilizzati da specialisti nella sicurezza informatica per studiare software malevoli. Dopo l'avvio si connette con il suo server di gestione e, ottenuta una conferma, lancia sul dispositivo infetto un server proxy SOCKS. I malintenzionati possono utilizzarlo per mantenere l'anonimato in Internet.

Entrambi questi trojan vengono rilevati da Antivirus Dr.Web per Linux e perciò non rappresentano alcun rischio per i nostri utenti.

La tua opinione conta per noi

Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti