RotaJakiro: Linux-бэкдор, обходивший проверку VirusTotal с 2018 года
Новости
К счастью, нашлись исследователи, которые обнаружили вирус.
1К открытий1К показов
Специалисты Qihoo 360 Netlab обнаружили очень интересный вредонос. Бэкдор, получивший название RotaJakiro, как минимум последние три года атаковал 64-битные Linux-системы, параллельно «обманывая» проверку VirusTotal.
Впервые он обратил на себя внимание ещё 25 марта, когда BotMon от Netlab заметил подозрительный файл. При этом на тот момент проверка в VirusTotal не обнаруживала в нём никакое вредоносное ПО.
Что интересно, примеры этого файла уже были ранее загружены в онлайн-сервис: 2 раза в 2018 году, и по одному в 2020 и 2021 годах.
Как RotaJakiro удавалось так долго скрываться?
Исследователи заявляют, что зловред меняет использование шифрования, включая сжатие ZLIB и комбинации AES, XOR и ротацию ключей во время своей деятельности. Это и позволяет RotaJakiro оставаться незамеченным.
Что именно делает бэкдор?
На данный момент специалисты не до конца понимают всю суть его работы. Но уже сейчас они обнаружили 12 функций. В том числе нацеленные на извлечение и кражу данных, управление файлами и плагинами, а также сообщение передачу информации об устройстве.
А у него есть какая-нибудь «фишка»?
Да! RotaJakiro совершенно по-разному ведёт себя при работе из-под пользователя с root-правами и без них.
Для первого он создаст новый процесс при запуске. В дальнейшем, используя этот процесс, вредоносный софт будет автоматически возрождать файлы конфигурации.
А вот в случае с пользователем без root-прав, RotaJakiro «развернёт» два отдельных процесса. И каждый из них будет восстанавливать друг друга в случае необходимости.
А что по защите?
После обнаружения экспертами по кибербезопасности, вирус попал в базу данных VirusTotal. А это значит, что большая часть антивирусов, в теории, должна будет вас защитить.
Источник: ZDNet
1К открытий1К показов