Троянецът Linux.Sshdkit.6 прихваща въведените потребителски логини и пароли и ги изпраща към отдалечен сървър под контрола на атакуващите
Нова модификация на открит по-рано троянец атакува над 500 сървъра под управление на Linux, вкл. и на големи хостинг доставчици, съобщи компанията за сигурност Доктор Уеб.
Linux.Sshdkit.6 представлява динамична библиотека за 64-битови Linux дистрибуции. При попадане в системата, троянецът се вгражда в процеса sshd, прихващайки функцията за автентикация.
Успешно въведените потребителски логини и пароли се изпращат към отдалечен сървър под контрола на атакуващите.
За първи път троянецът от типа Linux.Sshdkit беше открит през февруари 2012 г. Авторите на новата версия са направили редица промени, за да затруднят прихващането на откраднатите пароли от вирусните анализатори.
Така например, променен е методът за определяне на адреса на сървърите, към които троянецът предава крадената информация. За изчисляване на целевия сървър вече се използва специален текстов запис, съдържащ данни, кодирани със 128-битов RSA-ключ.
Освен това авторите на вируса за променили алгоритъма за получаване на команди от троянеца. За тяхното успешно изпълнение към зловредната програма се предава специален ред, който изисква проверка на значението на хеш функцията.
Троянците от семейството Linux.Sshdkit представляват сериозна опасност за сървъри, работещи под управление на Linux, тъй като позволяват на атакуващите да получат данни за неупълномощен достъп до машините, коментира Доктор Уеб.
Администраторите на сървъри, работещи с Linux, трябва да проверят операционната система за наличие на тази заплаха, съветва компанията за сигурност.
През май 2013 г. Доктор Уеб е засякла чрез своя софтуер 562 инфектирани с новия троянец Linux сървъра. Сред тях са и машините на големи хостинг доставчици.