Организации Южной Кореи пострадали от вируса, который удалял критические файлы на Linux машинах
22.03.2013
Исследователи компании Symantec установили, что при кибератаках на организации Южной Кореи использовалось программное обеспечение для удаления критически важных файлов операционных систем на базе ядра Linux.
Особенностью используемого хакерами инструмента является то, что код для удаления системных файлов Linux встроен во вредоносный инструмент, предназначенный для Windows.
"Дроппер под названием Trojan.Jokra содержит модуль для удаления доступных по сети Linux-машин. Обычно мы не встречаем компоненты, которые работают на нескольких операционных системах, и очень интересно, что инструмент для Windows угрожает компьютерам Linux. Модуль, о котором идет речь, ищет на компьютерах с Windows 7 и Windows XP приложение mRemote – многопротокольный менеджер удаленных соединений с открытым исходным кодом", - заявили в Symantec, добавив, что в mRemote хранится конфигурационный файл с сохраненными соединениями.
Если вирус обнаруживает подключение по протоколу SSH к машине на базе Linux, которое имеет привилегии администратора, он выполняет специальный набор сценариев. На целевой системе при этом создается временный файл, который очищает директории /kernel, /usr, /etc. При этом существуют отдельные команды для операционных систем SunOS, AIX и HP-UX.
