RotaJakiro: Linux-бэкдор, обходивший проверку VirusTotal с 2018 года

К счастью, нашлись исследователи, которые обнаружили вирус.

Специалисты Qihoo 360 Netlab обнаружили очень интересный вредонос. Бэкдор, получивший название RotaJakiro, как минимум последние три года атаковал 64-битные Linux-системы, параллельно «обманывая» проверку VirusTotal.

Впервые он обратил на себя внимание ещё 25 марта, когда BotMon от Netlab заметил подозрительный файл. При этом на тот момент проверка в VirusTotal не обнаруживала в нём никакое вредоносное ПО.

Что интересно, примеры этого файла уже были ранее загружены в онлайн-сервис: 2 раза в 2018 году, и по одному в 2020 и 2021 годах.

Как RotaJakiro удавалось так долго скрываться?

Исследователи заявляют, что зловред меняет использование шифрования, включая сжатие ZLIB и комбинации AES, XOR и ротацию ключей во время своей деятельности. Это и позволяет RotaJakiro оставаться незамеченным.

Что именно делает бэкдор?

На данный момент специалисты не до конца понимают всю суть его работы. Но уже сейчас они обнаружили 12 функций. В том числе нацеленные на извлечение и кражу данных, управление файлами и плагинами, а также сообщение передачу информации об устройстве.

А у него есть какая-нибудь «фишка»?

Да! RotaJakiro совершенно по-разному ведёт себя при работе из-под пользователя с root-правами и без них.

Для первого он создаст новый процесс при запуске. В дальнейшем, используя этот процесс, вредоносный софт будет автоматически возрождать файлы конфигурации.

А вот в случае с пользователем без root-прав, RotaJakiro «развернёт» два отдельных процесса. И каждый из них будет восстанавливать друг друга в случае необходимости.

А что по защите?

После обнаружения экспертами по кибербезопасности, вирус попал в базу данных VirusTotal. А это значит, что большая часть антивирусов, в теории, должна будет вас защитить.

Источник: ZDNet

Что думаете?