Ataki DDoS (Distributed Denial of Service) są najpopularniejszym sposobem atakowania zasobów sieciowych przez cyberprzestępców. Zaatakowany serwer otrzymuje tak wiele przychodzących żądań, że nie jest w stanie poradzić sobie z ilością zapytań i kończy swoją pracę. Do realizacji takich ataków, cyberprzestępcy często używają specjalnego złośliwego programu. Jeden z nich, nazwany Linux.DDoS.93, został wykryty przez analityków bezpieczeństwa Doctor Web.
Trojan Linux.DDoS.93 został stworzony do atakowania komputerów działających pod kontrolą systemu operacyjnego Linux. Prawdopodobnie jest rozpowszechniany z użyciem zestawu podatności ShellShock obecnych w GNU Bash.
Uruchomiony Linux.DDoS.93 próbuje zmienić zawartość katalogów systemowych, aby zapewnić sobie automatyczne uruchamianie się. Następnie trojan sprawdza, czy w zainfekowanym komputerze są obecne inne kopie Linux.DDoS.93 i jeśli je wykryje - zamyka je.
Trojan Linux.DDoS.93 tworzy dwa procesy podrzędne. Pierwszy z nich jest odpowiedzialny za wymianę danych z serwerem kontrolno-zarządzającym. Drugi weryfikuje, czy proces nadrzędny działa w nieskończonej pętli (jeśli nie, to uruchamia go). Proces nadrzędny robi później to samo względem procesów podrzędnych - tym samym trojan jest w stanie działać na zainfekowanej maszynie bez żadnych przerw.
Linux.DDoS.93 potrafi wykonywać następujące komendy:
• Aktualizacja złośliwego programu
• Pobranie i uruchomienie pliku określonego w poleceniu
• Usunięcie siebie samego
• Uruchomienie na określonym porcie ataku UDP flood
• Uruchomienie na losowo wybranym porcie ataku UDP flood
• Uruchomienie ataku Spoofed UDP flood
• Uruchomienie ataku TCP flood
• Uruchomienie ataku TCP flood (do pakietów są dodawane losowe dane o długości do 4096 bajtów)
• Uruchomienie ataku HTTP flood z użyciem żądań GET
• Uruchomienie ataku HTTP flood z użyciem żądań POST
• Uruchomienie ataku HTTP flood z użyciem żądań HEAD
• Wysyłanie żądań HTTP z określonymi parametrami na 255 losowych adresów IP
• Przerwanie działania
• Wysłanie komendy PING
Gdy trojan otrzymuje komendę uruchomienia ataku DDoS lub wysłania losowych żądań, kończy on najpierw pracę wszystkich procesów podrzędnych, a następnie uruchamia 25 nowych, które potem przeprowadzają zlecone przez cyberprzestępców ataki. Dr.Web informuje, że sygnatura Linux.DDoS.93 została dodana do jego bazy wirusów.