RotaJakiro: Linux-бэкдор, обходивший проверку VirusTotal с 2018 года — анонсы на Tproger

RotaJakiro: Linux-бэкдор, обходивший проверку VirusTotal с 2018 года — анонсы на Tproger

Поделиться

Спецы Qihoo 360 Netlab нашли весьма увлекательный вредонос. Бэкдор, получивший заглавие RotaJakiro, как минимум крайние три года штурмовал 64-битные Linux-системы, параллельно «обманывая» проверку VirusTotal.

В первый раз он направил на себя внимание ещё 25 марта, когда BotMon от Netlab увидел подозрительный файл. При всем этом на тот момент проверка в VirusTotal не обнаруживала в нём никакое вредное ПО.

Что любопытно, примеры этого файла уже были ранее загружены в онлайн-сервис: 2 раза в 2018 году, и по одному в 2020 и 2021 годах.

Как RotaJakiro удавалось так длительно прятаться?

Исследователи утверждают, что зловред меняет внедрение шифрования, включая сжатие ZLIB и композиции AES, XOR и ротацию ключей во время собственной деятельности. Это и дозволяет RotaJakiro оставаться незамеченным.

Что конкретно делает бэкдор?

Сейчас спецы не до конца соображают всю сущность его работы. Но уже на данный момент они нашли 12 функций. В том числе нацеленные на извлечение и кражу данных, управление файлами и плагинами, также сообщение передачу инфы о устройстве.

А у него есть какая-нибудь «фишка»?

Да! RotaJakiro совсем по-разному ведёт себя при работе из-под юзера с root-правами и без их.

PHP Developer

СберЗдоровье, Удалённо, По итогам собеседования

tproger.ru

Вакансии на tproger.ru

Для первого он создаст новейший процесс при запуске. В предстоящем, используя этот процесс, вредный софт будет автоматом возрождать файлы конфигурации.

А вот в случае с юзером без root-прав, RotaJakiro «развернёт» два отдельных процесса. И любой из их будет восстанавливать друг дружку в случае необходимости.

А что по защите?

Опосля обнаружения профессионалами по кибербезопасности, вирус попал в базу данных VirusTotal. А это означает, что большая часть антивирусов, в теории, обязана будет вас защитить.

Источник: ZDNet

Источник: tproger.ru

admin

You must be logged in to post a comment