Analitycy z rosyjskiej firmy antywirusowej Doctor Web wykryli nową wersję trojana Linux.Sshdkit.6, zagrożenia pozwalającego na nieautoryzowany dostęp przez cyberprzestępców do danych na serwerach z systemem Linux. Ofiarami wirusów z tej rodziny zostało jak do tej pory kilkaset serwerów, w tym duże serwery hostingowe.
Złośliwe oprogramowanie typu Linux.Sshdkit ukrywa się pod postacią bibliotek dla 32- i 64-bitowych dystrybucji Linuksa. Po udanej instalacji, trojan wszczepia swój kod do procesu sshd (odpowiedzialnego za udostępnianie szyfrowanego kanału do zdalnego łączenia się z danym serwerem i za identyfikowanie użytkownika), a następnie wykorzystuje jego mechanizmy autoryzacyjne. Po uruchomieniu sesji i wprowadzenie nazwy oraz hasła przez użytkownika, wirus wykrada te dane i przesyła do zdalnej lokalizacji. W przypadku poprzednich wersji trojana Linux.Sshdkit, udało się przejąć kilka takich serwerów, a przy tym ustalić nie tylko liczbę zainfekowanych urządzeń, ale również ich adresy IP. Tylko w ostatnim miesiącu analitycy Doctor Web odkryli 562 zainfekowanych serwerów.
Nowa wersja tego złośliwego oprogramowania - Linux.Sshdkit.6 - ukrywa się pod postacią bibliotek dla 64-bitowych dystrybucji Linuksa. W obecnej wersji wprowadzono wiele zmian, aby utrudnić analitykom wirusów przechwycenie skradzionych haseł. Cyberprzestępcy zmienili m.in. metodę określania adresów serwerów, na które trojan wysyła skradzione informacje. Obecnie do obliczenia serwera docelowego używane jest specjalne hasło tekstowe, zawierające dane szyfrowane kluczem RSA wielkości 128 bajtów.
W związku z zagrożeniem ze strony nowego złośliwego oprogramowania, Doctor Web zaleca wszystkim administratorom serwerów Linux sprawdzenie systemu pod kątem tego zagrożenia.
Jedną z metod na usunięcie wymienionego wyżej trojana jest skorzystanie z darmowego narzędzia Dr.Web LiveCD, dostępnego pod adresem:
http://www.freedrweb.com/livecd/.
Źródło: Doctor Web