Червь Darlloz поразил около 32 тысяч систем на базе Linux

Компания Symantec провела анализ степени поражения систем червём Linux.Darlloz. Червь был выявлен в ноябре прошлого года и воспринимался как малоопасный прототип, так как для его распространения использовалась база из около десятка типовых паролей и эксплоит для уязвимости в CGI-режиме PHP, исправленной два года назад. Тем не менее, сканирование всего диапазона IP-адресов, показало, что червём Linux.Darlloz уже поражено почти 32 тысяч систем.

Присутствие червя удалось идентифицировать благодаря тому, что после проникновения в систему червь запускает http-сервер на порту 58455 и отдаёт исполняемый файл со своей копией по фиксированному пути. Червь изначально рассчитан на поражение устройств, постоянно подключенных к сети и остающихся без внимания пользователей, которые часто оставляют неизменными заводские параметры входа. В частности, червь поражает домашние маршрутизаторы, точки доступа, телеприставки, web-камеры и сетевые принтеры на базе архитектур x86, ARM, MIPS и PowerPC. Тем не менее, 43% поражённых систем составили работающие под управлением Linux компьютеры и серверы на базе архитектуры x86, и только 38% - специализированные устройства.

Интересно, что в качестве одной из функций червя является майнинг криптовалюты Mincoins и Dogecoins, который выполняется только на Linux-системах с архитектурой x86 и не затрагивает специализированные устройства. При этом злоумышленникам удалось заработать на майнинге всего около 200 долларов.

Дополнительно, можно отметить сообщение в блоге компании Cisco об увеличении интенсивности атак, направленных на поражение давно не обновляемых web-серверов на базе Linux, использующих устаревшие версии ПО. За последние дни выявлено 2700 поражённых систем, при этом 17 и 18 марта фиксировалось поражение около 400 новых хостов в день. После получения контроля над системой, вредоносное ПО осуществляет подстановку платной рекламы и кода для поражения клиентских систем на страницы сайтов, размещённые на поражённой системе. Предполагается для для распространения вредоносного ПО используется какая-то удалённая уязвимость, исправленная в свежих версиях серверного ПО, но проявляющаяся на устаревших системах.