Компания Symantec провела анализ степени поражения систем червём Linux.Darlloz.
Компания Symantec провела анализ степени поражения систем червём Linux.Darlloz. Червь был выявлен в ноябре прошлого года и воспринимался как малоопасный прототип, так как для его распространения использовалась база из около десятка типовых паролей и эксплоит для уязвимости в CGI–режиме PHP, исправленной два года назад.
Тем не менее, сканирование всего диапазона IP–адресов, показало, что червём Linux.Darlloz уже поражено почти 32 тысяч систем. Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http–сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути. Червь изначально рассчитан на поражение устройств, постоянно подключенных к сети и остающихся без внимания пользователей, которые часто оставляют неизменными заводские параметры входа.
В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web–камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC. Тем не менее, 43% поражённых систем составили работающие под управлением Linux компьютеры и серверы на базе архитектуры x86, и только 38% – специализированные устройства.
Интересно, что в качестве одной из функций червя является майнинг криптовалюты Mincoins и Dogecoins, который выполняется только на Linux–системах с архитектурой x86 и не затрагивает специализированные устройства. При этом злоумышленникам удалось заработать на майнинге всего около 200 долларов.
Дополнительно, можно отметить сообщение в блоге компании Cisco об увеличении интенсивности атак, направленных на поражение давно не обновляемых web–серверов на базе Linux, использующих устаревшие версии ПО. За последние дни выявлено 2700 поражённых систем, при этом 17 и 18 марта фиксировалось поражение около 400 новых хостов в день. После получения контроля над системой, вредоносное ПО осуществляет подстановку платной рекламы и кода для поражения клиентских систем на страницы сайтов, размещённые на поражённой системе. Предполагается для для распространения вредоносного ПО используется какая–то удалённая уязвимость, исправленная в свежих версиях серверного ПО, но проявляющаяся на устаревших системах.
Также выявлены новые варианты вредоносного ПО, поражающего устаревшие системы, подверженные уязвимости в CGI–режиме PHP. Анализ показал, что около 16% всех сайтов используют устаревшие версии PHP (5.3.12– и 5.4.2–), в которых не исправлена уязвимость (не сообщается сколько из этих сайтов использует PHP в режиме CGI и подвержены применению эксплоита).